「カランサムウェア」の版間の差分

2014年12月22日 (月) 10:14時点における版

カランサムウェアとは、0chiakiが作成したランサムウェアのことを指す俗称。「唐澤」と「ランサムウェア」を掛けた造語である。正式名称は「KRSWLocker」。西武のランサムとは一切関係ない。

改竄されたシルエット速報。感染経路として利用された。

仮想環境内で感染させたカランサムウェア。

概要

ランサムウェア（英語: Ransomware）とはマルウェアの一種である。これに感染したコンピュータはシステムへのアクセスを制限される。
この制限を解除するため、マルウェアの作者へ身代金の支払いが要求される。数種類の形態のランサムウェアは、システムのハードディスクドライブを暗号化し（暗号化ウイルス恐喝）、
また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。(ランサムウェア - Wikipediaより)

0chiakiは17日に「TorLocker」というランサムウェアを購入した^[1]。
TorLockerは表示される文章や画像を変更できるランサムウェアであり^[2]、尊師画像を盛り込み恒心仕様に改変したものが今回用いられたカランサムウェアである。^[3]。

一度目の拡散

23日にまとめアフィリエイトブログ「シルエット速報」と、偽Flash更新ページにするためのウェブサイトが0chiakiによってハッキングされ、訪問者にカランサムウェアをダウンロードさせるよう改ざんされた。^[4]

感染経路は以下の通りである。

シルエット速報ヘアクセスすると改変されたサイトが表示され、「お使いのAdobeFlashPlayerのバージョンをアップデートしてください。」というダイアログが出現する。
OKを押すと偽インストール画面にリダイレクトされる。
「今すぐインストール」を押すとカランサムウェアであるSetup.exeがダウンロードされる。これを実行してしまうと感染する。

第三者による妨害

しかしその後、リダイレクト先である偽Flash更新ページとなったウェブサイトが、第三者によって以下のメッセージだけが表示されるようにさらに改ざんされていた:

所詮スクリプトキディのZeroChiakiくん。 
君が出来るようなハッキングなんて、たかが知れてますよ。 
まじめに働きましょう 
ZeroChiakiくんがこのサーバーにウイルスをアップロードした手法は
(Google検索のURL。検索結果にこのサーバーのログイン情報を含む管理情報のファイルがあった。)

なお、今はさらにさらに改ざんされ、恒心綜合法律事務所のHPにリダイレクトするようになっている。

二度目の拡散

一度目の拡散には失敗した0chiakiだが、カランサムウェアにバージョンアップを施し、二度目の拡散を行った。今回の拡散は、メディア進出を果たし、恒心教布教の大きな躍進となった。また、今度は妨害が入るのを阻止するためか、感染経路が明らかにされていない。

文面の改変

一度目の拡散でリリースされたものはパカデブイラストと連絡先を追加したのみで、文面は未改変であった。12月中旬には文面も改変し恒心語録を混ぜ込み、バージョンアップしたものが作成された^[5]。

メディア進出

日本人向けのランサムウェアというのはこれが初のようで、シマンテックの12月16日のレポートで取り上げられ(外部リンク参照)、インターネットニュース大手の「Internet Watch」で報道された^[6]。

が、シマンテック提供の画像では何の問題があったのか(すっとぼけ)肝心のイラストにボカシがかかっており、Internet Watchの記事には以下のような弁護士唐澤　貴洋の渾身のポエムを脅迫扱いするなど悪質な誹謗中傷が散見された。翌日にはテレビでも報道された^[7]。

問題の画像。似顔絵と連絡先にぼかしがかかっている。

日本を狙った複数の“ランサムウェア”が活動中、ファイルを人質に身代金要求～「俺は君の20年後を見ている」などと脅迫

(中略)
　シマンテックによると、身代金の額は4万円から30万円。
　ポップアップウィンドウには、「俺は君に人を傷付けるのではなく人を助ける人間になってほしい」「俺は君の20年後を見ている」などというメッセージも書かれている。

バグ

一見完璧に見える今バージョンであるが、0chiakiによれば、このバージョンには以下のバグがあるとされる:

Bitcoinの振り込み先アドレスが受信されない。その結果、振り込みが完了できず、ファイルを復号することができない。
コントロール側が、感染者の人数を正しく把握できない。

この問題について0chiakiは、内部に組み込まれたTorが正しく動作していないことを示唆した。また、無改変のTorLockerにおいても同様のバグが発生することから、TorLocker側の問題である可能性が高いとした。

註釈

外部リンク

日本のユーザーを狙って設計された TorLocker ランサムウェアの亜種（シマンテック）

この項目「カランサムウェア」は、まだ書きかけの項目ですを

声なき声に力を。

[1] ランサムウェア購入しました - Twitter(魚拓)

[2] - Twitter(魚拓)

[3] 完成 -Twitter(魚拓)

[4] 【朗報】　アフィブログ　「シルエット速報」　カラッキングされる - 2ch

[5] - Twitter

[6] 日本を狙った複数の“ランサムウェア”が活動中、ファイルを人質に身代金要求～「俺は君の20年後を見ている」などと脅迫

[7] めざましテレビでの報道 - Youtube

[1]

[2]

[3]

[4]

[5]

[6]

[7]

@@ 1行目: / 1行目: @@
-<strong>カランサムウェア</strong>とは、[[0chiaki]]が改変したランサムウェアのことを指す。「KRSWLocker」ともいう。[http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%BC%E3%83%87%E3%82%A3%E3%83%BB%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0 西武のランサム]とは一切関係ない。
+<strong>カランサムウェア</strong>とは、[[0chiaki]]が作成したランサムウェアのことを指す俗称。「唐澤」と「ランサムウェア」を掛けた造語である。正式名称は「KRSWLocker」。[http://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%BC%E3%83%87%E3%82%A3%E3%83%BB%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0 西武のランサム]とは一切関係ない。
-[[ファイル:改竄されたサイト.png|thumb|right|改竄されたシルエット速報]]<br/>
+[[ファイル:改竄されたサイト.png|thumb|right|改竄されたシルエット速報。感染経路として利用された。]]<br/>
-[[ファイル:カランサムウェア.jpg|thumb|right|仮想環境内で感染したカランサムウェア]]
+[[ファイル:カランサムウェア.jpg|thumb|right|仮想環境内で感染させたカランサムウェア。]]
 {{See also|Wikipedia:ja:ランサムウェア}}
 == 概要 ==
 ''ランサムウェア（英語: Ransomware）とはマルウェアの一種である。これに感染したコンピュータはシステムへのアクセスを制限される。''<br>
 ''この制限を解除するため、マルウェアの作者へ身代金の支払いが要求される。数種類の形態のランサムウェアは、システムのハードディスクドライブを暗号化し（暗号化ウイルス恐喝）、''<br>
-''また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。''([http://ja.wikipedia.org/wiki/%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2b ランサムウェア - Wikipediaより引用])<br/>
+''また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。''([http://ja.wikipedia.org/wiki/%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2b ランサムウェア - Wikipedia]より)<br/>
+[[0chiaki]]は17日に「TorLocker」というランサムウェアを購入した<ref>[https://archive.today/R5PwT ランサムウェア購入しました - Twitter(魚拓)]</ref>。<br>
+TorLockerは表示される文章や画像を変更できるランサムウェアであり<ref>[https://archive.today/jOtXD - Twitter(魚拓)]</ref>、尊師画像を盛り込み恒心仕様に改変したものが今回用いられたカランサムウェアである。<ref>[https://archive.today/VdOyY 完成 -Twitter(魚拓)]</ref>。
+== 一度目の拡散 ==
+日にまとめアフィリエイトブログ「シルエット速報」と、偽Flash更新ページにするためのウェブサイトが[[0chiaki]]によってハッキングされ、訪問者にカランサムウェアをダウンロードさせるよう改ざんされた。<ref>[http://fox.2ch.net/test/read.cgi/poverty/1416728138/ 【朗報】　アフィブログ　「シルエット速報」　カラッキングされる - 2ch]</ref>
+感染経路は以下の通りである。
+#シルエット速報ヘアクセスすると改変されたサイトが表示され、「お使いのAdobeFlashPlayerのバージョンをアップデートしてください。」というダイアログが出現する。
+#OKを押すと偽インストール画面にリダイレクトされる。
+#「今すぐインストール」を押すとカランサムウェアであるSetup.exeがダウンロードされる。これを実行してしまうと感染する。
-[[0chiaki]]は17日にTorLockerというランサムウェアを購入した<ref>[https://archive.today/R5PwT ランサムウェア購入しました - Twitter(魚拓)]</ref>。<br>
+=== 第三者による妨害 ===
-TorLockerは表示される文章や画像を変更できるタイプのランサムウェアであり<ref>[https://archive.today/jOtXD - Twitter(魚拓)]</ref>、尊師画像を盛り込み恒心仕様に改変したものが今回用いられたカランサムウェアである。<ref>[https://archive.today/VdOyY 完成 -Twitter(魚拓)]</ref>。
+しかしその後、リダイレクト先である偽Flash更新ページとなったウェブサイトが、第三者によって以下のメッセージだけが表示されるようにさらに改ざんされていた:
+ 所詮スクリプトキディのZeroChiakiくん。
+ 君が出来るようなハッキングなんて、たかが知れてますよ。
+ まじめに働きましょう
+ ZeroChiakiくんがこのサーバーにウイルスをアップロードした手法は
+ (Google検索のURL。検索結果にこのサーバーのログイン情報を含む管理情報のファイルがあった。)
-== バージョンアップ ==
+なお、今はさらにさらに改ざんされ、[[恒心綜合法律事務所]]のHPにリダイレクトするようになっている。
-当初リリースされたものはパカデブイラストと連絡先を強引に追加したため文面は未改変であったが、12月中旬には文面も改変し恒心語録を混ぜ込んだものになった<ref>[https://twitter.com/ZeroChiaki/status/543348351924961280 - Twitter]</ref>。しかし改変の弊害なのかファイルを復元することができず結局暗号化されたまま<ref>[https://twitter.com/ZeroChiaki/status/544293414318379009 KRSWLockerがうまく動いていない気がする - Twitter]</ref>というもはや身代金も糞もない単なるウイルスになってしまったようだ。
-また、日本人向けのランサムウェアというのはこれが初のようで、シマンテックの12月16日のレポートで取り上げられ(外部リンク参照)、インターネットニュース大手の「Internet Watch」で報道された<ref>[http://internet.watch.impress.co.jp/docs/news/20141216_680615.html 日本を狙った複数の“ランサムウェア”が活動中、ファイルを人質に身代金要求～「俺は君の20年後を見ている」などと脅迫]</ref>。
+== 二度目の拡散 ==
+一度目の拡散には失敗した0chiakiだが、カランサムウェアにバージョンアップを施し、二度目の拡散を行った。今回の拡散は、メディア進出を果たし、恒心教布教の大きな躍進となった。また、今度は妨害が入るのを阻止するためか、感染経路が明らかにされていない。
+=== 文面の改変 ===
+一度目の拡散でリリースされたものはパカデブイラストと連絡先を追加したのみで、文面は未改変であった。12月中旬には文面も改変し恒心語録を混ぜ込み、バージョンアップしたものが作成された<ref>[https://twitter.com/ZeroChiaki/status/543348351924961280 - Twitter]</ref>。
+=== メディア進出 ===
+日本人向けのランサムウェアというのはこれが初のようで、シマンテックの12月16日のレポートで取り上げられ(外部リンク参照)、インターネットニュース大手の「Internet Watch」で報道された<ref>[http://internet.watch.impress.co.jp/docs/news/20141216_680615.html 日本を狙った複数の“ランサムウェア”が活動中、ファイルを人質に身代金要求～「俺は君の20年後を見ている」などと脅迫]</ref>。
 '''が、'''シマンテック提供の画像では何の問題があったのか(すっとぼけ)肝心のイラストにボカシがかかっており、Internet Watchの記事には以下のような[[弁護士唐澤　貴洋]]の渾身のポエムを脅迫扱いするなど悪質な誹謗中傷が散見された。翌日にはテレビでも報道された<ref>[https://www.youtube.com/watch?v=4t3cWd96xZw めざましテレビでの報道 - Youtube]</ref>。
-[[ファイル:Krswlocker-animated-gif-looping-url-blurred.gif|200px|thumb|right|問題の画像]]
+[[ファイル:Krswlocker-animated-gif-looping-url-blurred.gif|200px|thumb|right|問題の画像。似顔絵と連絡先にぼかしがかかっている。]]
   日本を狙った複数の“ランサムウェア”が活動中、ファイルを人質に身代金要求～「俺は君の20年後を見ている」などと脅迫
   ''(中略)''
-  　シマンテックによると、身代金の額は4万円から30万円。ポップアップウィンドウには、「俺は君に人を傷付けるのではなく人を助ける人間になってほしい」「俺は君の20年後を見ている」などというメッセージも書かれている。
+  　シマンテックによると、身代金の額は4万円から30万円。
+ 　ポップアップウィンドウには、「俺は君に人を傷付けるのではなく人を助ける人間になってほしい」「俺は君の20年後を見ている」などというメッセージも書かれている。
+=== バグ ===
+一見完璧に見える今バージョンであるが、0chiakiによれば、このバージョンには以下のバグがあるとされる:
+* Bitcoinの振り込み先アドレスが受信されない。その結果、振り込みが完了できず、ファイルを復号することができない。
+* コントロール側が、感染者の人数を正しく把握できない。
-== 拡散 ==
+この問題について0chiakiは、内部に組み込まれたTorが正しく動作していないことを示唆した。また、無改変のTorLockerにおいても同様のバグが発生することから、TorLocker側の問題である可能性が高いとした。
-日にまとめアフィリエイトブログ「シルエット速報」が[[0chiaki]]によってハッキングされ、訪問者にカランサムウェアをダウンロードさせるよう改竄された。<ref>[http://fox.2ch.net/test/read.cgi/poverty/1416728138/ 【朗報】　アフィブログ　「シルエット速報」　カラッキングされる - 2ch]</ref>
-改竄の内容は以下の通りである。
-#サイトヘアクセスすると改変されたサイトが表示され、「お使いのAdobeFlashPlayerのバージョンをアップデートしてください。」というメッセージが表示される
-#OKを押すと偽インストール画面にリダイレクトされる
-#「今すぐインストール」を押すとカランサムウェアであるSetup.exeがダウンロードされ、カランサムウェアが起動する。
-===その後===
-しかしその後、リダイレクト画面が謎の第三者によって以下のメッセージだけが表示されるように書き換えられていた。今は[[恒心綜合法律事務所]]のHPにリダイレクトするようになっている。<br/>
- 所詮スクリプトキディのZeroChiakiくん。
- 君が出来るようなハッキングなんて、たかが知れてますよ。
- まじめに働きましょう
- ZeroChiakiくんがこのサーバーにウイルスをアップロードした手法は
- サイト名
 == 註釈 ==
 <references />
-==外部リンク==
+== 外部リンク ==
 *[http://www.symantec.com/connect/blogs/torlocker 日本のユーザーを狙って設計された TorLocker ランサムウェアの亜種 （シマンテック）]
 {{スタブ}}