|
GandCrabランサムウェア感染経路と対策は? .CARB/.GDCBファイル拡張子
 Image いらすとや GandCrab(読み方 ガンクラブ)は、Windows パソコンをターゲットに2018年1月下旬から確認されてるランサムウェア(身代金型ウイルス)の1つです。
ランサムウェア GandCrab に感染すると、PC 内のファイルを暗号化されて開けなくなり、そのファイルを復号するツール 「GandCrab Decryptor」 の購入を名目に英語で身代金の支払いを要求してきます。
ランサムウェア感染経路GandCrab のオペレータはロシアのアンダーグランドコミュニティで GandCrab の配信に協力してくれるパートナーを募集しており、掠め取った身代金の分け前としてパートナーに最大70%の報酬が支払われるとか。
  ・ Behind the veil GandCrab Ransomware Partner Program - LMNTRIX Labs
そんなこんなで複数のサイバー犯罪者が参加することで複数の GandCrab 配信キャンペーンが幕を開け、そのウイルス感染経路は大きく3つに絞られます。
《1》 HoeflerText フォントで自爆感染 (2018年2月4日から)
Chrome ブラウザで一般サイトをネットサーフィン中に 「HoeflerText フォントが見つからないから Chrome Fonts Pack を更新せよ」 という偽の指示が書かれたポップアップウィンドウが表示され、ユーザーの心を操り GandCrab の実行ファイルを起動させる自爆パターンです。
《2》 ウイルスメールの自爆感染
英語表記の 迷惑メール(スパムメール) を受信して、添付ファイルを開いたことで最終的に GandCrab の感染を招き入れる自爆パターンです。
ただし、ウイルスメール対策3つをあらかじめ実施しておくと、不正なファイルをうっかり開こうが100%確実に GandCrab の感染は起こりません。
 
ヒューマンエラー(人為的ミス) が存在する限り必ずしも実現できないウイルス対策 『怪しいメールを開かない』『不審なファイルを開かない』 といった精神論ではなかなか厳しいです。
《3》 ネットサーフィン中に強制感染
一般サイトをネットサーフィン中に、ランサムウェア GandCrab が何ら確認もなく問答無用で強制インストールされるパターンです。(セキュリティ用語でドライブバイ・ダウンロード攻撃)
ただし、GandCrab ランサムウェアが強制インストールされるには次の感染2条件にどちらか該当してることが必須です。
いずれも更新済みで当てはまらない状態に維持されてる PC なら GandCrab の強制感染条件から外れるので大丈夫です。
ランサムウェアの感染症状暗号化された文書ファイル、画像ファイル、圧縮ファイルは、破壊された目印としてオリジナルのファイル名に任意の拡張子が付け足されます。
 CRABファイル
各フォルダー内に英語で書かれてた脅迫文ファイルを新規作成します。
 
Windows のレジストリに GandCrab の実行ファイルを起動するためのキーが作成されます。
 【レジストリ】 ・
GandCrab セキュリティトピックス■ ウイルスファイル
調査したランサムウェアウイルスの実行ファイルの検体です。
 GandCrab 実行ファイル .exe
■ 有償製品を宣伝する詐欺サイト
GandCrab ランサムウェアの駆除方法を案内するかのよう装い、海外製の有償セキュリティ製品 「SpyHunter 4」「GridinSoft Anti-Malware」「Reimage Repair」 のインストールを仕向けて有償版の購入契約を狙う詐欺サイトが存在してます。
https://deletemalware[.]net/ja/ この手の詐欺サイトは機械翻訳によるメチャクチャな日本語の文章で書かれてあることも多く読む価値ないけど、Google や Yahoo! の検索結果にやたらヒットします。
関連するブログ記事最終更新日: 2018/03/06
|
この記事に
>
- コンピュータとインターネット
>
- コンピュータ
>
- Windows
>ウインドウを消したとたんに
ページから脱出してるのでもう大丈夫です
