カランサムウェア

0Chiakiは2014年11月17日に「TorLocker」というランサムウェアを購入した^[1]。

TorLockerは表示される文章や画像を変更できるランサムウェアであり^[2]、尊師画像を盛り込み恒心仕様に改変したものが今回用いられたカランサムウェアである^[3]。

同月23日にまとめアフィリエイトブログ「シルエット速報」と、偽Flash更新ページにするためのウェブサイトが0Chiakiによってカラッキングされ、訪問者にカランサムウェアをダウンロードさせるよう改竄された^[4]。

感染経路は以下の通りである。

1. シルエット速報ヘアクセスすると改変されたサイトが表示され、「お使いのAdobeFlashPlayerのバージョンをアップデートしてください。」というダイアログが出現する。
2. OKを押すと偽インストール画面にリダイレクトされる。
3. 「今すぐインストール」を押すとカランサムウェアであるSetup.exeがダウンロードされる。これを実行してしまうと感染する。

第三者による妨害

しかしその後、リダイレクト先である偽Flash更新ページとなったウェブサイトが、第三者によって以下のメッセージだけが表示されるようにさらに改竄されていた:

所詮スクリプトキディのZeroChiakiくん。 
君が出来るようなハッキングなんて、たかが知れてますよ。 
まじめに働きましょう 
ZeroChiakiくんがこのサーバーにウイルスをアップロードした手法は
(Google検索のURL。検索結果にこのサーバーのログイン情報を含む管理情報のファイルがあった。)

なお、その後さらにさらに改竄され、恒心綜合法律事務所のHPにリダイレクトするようになっていた。

一度目の拡散には失敗した0Chiakiだが、カランサムウェアにバージョンアップを施し、二度目の拡散を行った。今回の拡散は、メディア進出を果たし、恒心教布教の大きな躍進となった。また、今度は妨害が入るのを阻止するためか、感染経路が明らかにされていない。

文面の改変

一度目の拡散でリリースされたものはパカデブのイラストと連絡先を追加したのみで、文面は未改変であった。12月中旬には文面も改変し恒心語録を混ぜ込み、バージョンアップしたものが作成された^[5]。

メディア進出

日本人をターゲットとしたランサムウェアというのはこれが初のようで、シマンテックの12月16日のレポートで取り上げられ、「Internet Watch」で報道された^[6]。

が、シマンテック提供の画像では何の問題があったのか肝心のイラストにボカシがかかっており、Internet Watchの記事には以下のような弁護士唐澤　貴洋の渾身のポエムを脅迫扱いするなど悪質な誹謗中傷が散見された。後日、フジテレビのめざましテレビ^[7]や日本テレビのNEWS ZERO、新聞^[8]でも報道された

日本を狙った複数の“ランサムウェア”が活動中、ファイルを人質に身代金要求～「俺は君の20年後を見ている」などと脅迫

(中略)
　シマンテックによると、身代金の額は4万円から30万円。
　ポップアップウィンドウには、「俺は君に人を傷付けるのではなく人を助ける人間になってほしい」「俺は君の20年後を見ている」などというメッセージも書かれている。

バグ

一見完璧に見える今バージョンであるが、0Chiakiによれば、このバージョンには以下のバグがあるとされる:

• Bitcoinの振り込み先アドレスが受信されない。その結果、振り込みが完了できず、ファイルを復号することができない。
• コントロール側が、感染者の人数を正しく把握できない。

この問題について0Chiakiは、内部に組み込まれたTorが正しく動作していないことを示唆した。また、無改変のTorLockerにおいても同様のバグが発生することから、TorLocker側の問題である可能性が高いとした。

2015年2月にB-CAS対策突破ツールと偽ったBotnetのAndromedaを利用したランサムウェア配布が行われた^[10]。第一報はシマンテックの濵田譲治がアナウンスした^[11]。弁護士の唐澤です。というメッセージから始まるもので、今までのものとは異なり尊師の姿が青い背景と共に右側に表示される仕様となっている。

2018年2月にエビケーにて悪芋により独自で制作した新型のカランサムウェア(eye_karannsamu)が開示された。感染すると馬kマークが画面を飛び交ったりと目新しい機能がある^[12][13]。

更に2021年8月にもランサム淫夢ウェアの作成^[14]とカランサムウェアへの変更^[15]及び改良^[16]が行われている。

【唐澤貴洋殺す】雑談★20【ダーキーニーまつたけ】【唐澤凶暴化】>>782-792(魚拓) - マヨケー
782 ：一般カタルーニャ人：2021/08/20(金) 17:36:25.86 ID:6UJc/cLF0
ランサム淫夢ウェア＆カランサムウェア芋ヤバすぎでマヨ枯れる
IT弱芋頭唐澤な当職、聞きたいことがありますを
１．使った言語
２．大まかでもいいので仕組み
カラッキング路線に力を。

783 ：一般カタルーニャ人：2021/08/20(金) 17:40:06.54 ID:kEwKKB/l0
カラッキング路線再興、これはいい。

784 ：一般カタルーニャ人：2021/08/20(金) 17:42:35.09 ID:aubonIx10
ホモビに出ただけでランサムウェアにされる男
無能なだけでランサムウェアにされる男

785 ：一般カタルーニャ人：2021/08/20(金) 17:44:07.80 ID:6UJc/cLF0
後者は当然の報いだけれど前者に関しては完全に被害者なんだよなぁ…
✝悔い改めて✝

786 ：一般カタルーニャ人：2021/08/20(金) 17:53:49.83 ID:oBcDv8BV0
ニコ動に上げたら伸びそうやけどせっかくやし高橋嘉之の情報入れて布教してくれや

787 ：一般カタルーニャ人：2021/08/20(金) 17:58:41.73 ID:8dETfTMN0
また野獣先輩がニュースでぼかし貫通してしまうのか

788 ：一般カタルーニャ人：2021/08/20(金) 18:01:02.37 ID:dsBBcaWS0
最近のキッズって一般にスマホばっかり使っててパソコン慣れしてなさそうだから「変なファイルを実行しない」って鉄則守れる人少そう

ちなみにウイルスは保管も不正電磁的記録に関する罪でアウトになるから気をつけろよ
789 ：一般カタルーニャ人：2021/08/20(金) 18:02:09.91 ID:oBcDv8BV0
Ubuntuでも動かせるん？それならWhonixで落としとくが

790 ：一般カタルーニャ人：2021/08/20(金) 18:04:18.42 ID:6UJc/cLF0
>>789
exeだからWindowsのみ
Wine使ったらどうなるかは知らん

792 ：656：2021/08/20(金) 18:54:26.54 ID:+ydc9ERf0
>>782
1. c#言語
2.
当職のサイトにアクセスして、暗号化キーを取得する
ダウンロードファイルやデスクトップなどにあるファイルのpathを取得する（例えば ‪C:\Users\yjsnpi\Desktop\唐澤貴洋殺す.txt)
そのファイルの拡張子を取得して(.txtとか.zipとか）当職が暗号化したいファイルだったら暗号化キーを使って暗号化する。（本当は全ての 
ファイルを暗号化したほうがいいが、PCが起動しなくなったり時間を短縮するため特定の拡張子のみ絞って暗号化）
後で複合化するとき、そのファイルが当職によって暗号化したかどうか判別するために、ファイルの末尾に.krswを追加する。
すべて暗号化したらカランサムウェアをレジストリに登録する。そうすると、PCが起動するたびに脅迫文が表示されるようになる。
最後に無能弁護士の顔と一緒に脅迫文を表示する。
大まかな流れはこんな感じですを。とりとり

• KRSWLocker - Wikipedia
• 日本のユーザーを狙って設計された TorLocker ランサムウェアの亜種(魚拓) - シマンテック