ランサムウェアCritroniを入れてみた

最近、どうやらCryptoLockerをはじめとしたランサムウェア、というものが流行っているらしい。
ユーザーのファイルを勝手に暗号化して、復号してほしければお金を払え、っていうらしいけれど、実際どういう動作なのか気になったので、最近出たらしいCritroniというランサムウェアを試してみた。

そもそも、CritroniはCBT-Lockerと呼ばれていたもので、出たのは結構最近の事らしい。
Threat Centerによれば、7/21に初めて加えられたみたい。それをたまたま入手したので、実際に動かしてみた。
Critroni – File Encrypting Ransomware out in the worldがこのランサムウェアについて詳しく書いている。Angler exploit kitに最近入るようになったらしい。

実行すると、すぐにファイルの暗号化が行われ、以下のような画面になる。
Critroni_0_top

画面には以下の文字列が書いてある。英語とロシア語の両方で表示する事ができる。

Your personal files are encrypted.

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.

You only have 72 hours to submit the payment. If you do not send money within provided time, all your files will be permanentlycrypted and no one will be able to recover them.

Press ‘View’ to view the list of files that have been encrypted.
Press ‘Next’ to connect to the server and follow instructions.

WARNING! DO NOT TRY TO GET RID OF THE PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTION.

VIEWをクリックすると、以下のようにテキストが表示され、Torをダウンロードし、Tor内で、http://zaxseiufetlkwpeu.onion に接続するように指示がある。てか、こういうのにひっかかる人がTorなんて導入できるのかなあ。ちなみに、リストには暗号化したファイルの一覧が記載される。
Critroni_1_instructions

 

Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it’s seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

1. Type the address http://torproject.org in your Internet browser.
It opens the Tor site.

2. Press ‘Download Tor’, then press ‘DOWNLOAD Tor Browser Bundle’,
install and run it.\

3. Now you have Tor Browser. In the Tor Browser open the http://zaxseiufetlkwpeu.onion
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

4. Copy and paste the following public key in the input form on server. Avoid missprints.
JNB7JS-CICBN5-X2ESKX-HY7ZFO-XLY56D-7GAYCL-T75PLC-FTN4VK
OVA6MZ-R5SSDB-5ZM35V-65QHHJ-ZS5VU3-4UWMOG-5R45JG-47UFD3
C2LVHQ-UU7U6K-IWRI2Y-WBXL67-ZBHV5L-7CBTR7-LE4TS7-YDF5UE
5. Follow the instructions on the server.

さらに進むと、以下のように表示されて、ビットコインでの支払いのみ受け付けます、と表示される。
普通の送金だと簡単に足がつくので、こういう仮想通貨を使用しているのかな、すごい。
Critroni_2

Payment required

Server accepts payment in Bitcoin(BTC) only.

1. Pay amount of 0.2 BTC (about 24 USD) to address:
1DnY3kUEiEhVAqvSpkheaPbqXPgYTyskQ6

2. Transaction will take about 15-30 minutes to confirm.

Decryption will start automatically. Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
If you have no Bitcoins press ‘Exchange’.

せっかくなので、時間を進めてみて、どうなるのかを確認してみた。
時間を進めると、以下のようにTime Expiredと表示される。でも、やっぱり「まだ手段はあるよ」との事。
テキストを見て、って書いてあるけれど、テキストに書いてあるのはさっきとまったく同じ。
Ctitroni_4

ちなみに、Exitを押すと、また同じテキストが表示される。よく見ると、表示されているのではなく、デスクトップの背景がこのテキストに変更されている。左にある拡張子がctblのファイルが、どうやら暗号化されたファイルみたい。確かに開けない。
Ctitroni_5

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です