helpdcrpt@cock.liランサムウェアの身代金要求ファイル(HOW TO RECOVER FILES.TXT)
クリックすると拡大表示
データファイル名に犯人側のメールアドレスである「helpdcrpt@cock.li」を加えてえて暗号化してしまいます。暗号化をしたフォルダに「HOW TO RECOVER FILES.TXT」という身代金要求ファイルを置いていきます。
test.jpg → test.jpg.helpdcrpt@cock.li
のようにファイル名を変えてしまいます。
マニュアル駆除と製品駆除によりウイルスの動作は停止させました。製品駆除で検出できたメーカーは1社だけでした。
他の主なメーカーのセキュリテイソフトでは検出すらできませんでした。
HOW TO RECOVER FILES.TXTの先頭部分にはパーソナルIDといわれる644バイトの16進数があります。(画像では伏せています)
Googleで検索をしても「helpdcrpt@cock.li」のランサムウェアの情報はありませんでした。
国内初であり世界初の感染なのかもしれません。
犯人側との交渉の末に復号しました。時差9時間(イギリスを通る子午線上の国)の地域に住んでいる英語の達者な人です。
依頼のあったPCには特別な事情がありました。メーラーを使っていなかったのです。
ですから、メールの添付文書を開いて感染をしたわけではありません。
そして「rdp.reg.helpdcrpt@cock.li」がCドライブのルートに置かれており、このファイルを復号する事はできませんでした。
RDP(リモートデスクトップ)のレジストリ値の変更をしたのではないかと憶測するような名称です。
あと、遠隔サポートサービスをよく使われていたPCでもありました。
最近のSMBポート、RDPポートから侵入して感染・暗号化をするランサムウェアが増えています。
通信会社の遠隔サポートプログラムが光回線の利用時に無料で配布されています。
配布するのはいいのですが、インストール時から遠隔操作の通信ポートを開け、遠隔サービスが終わっても通信ポートの穴は開けっ放しという遠隔サポートサービス側の責任は重いです。
遠隔サポートサービスをする側はサービス終了時に通信ポートの穴は塞ぐべきです。
これから、このような被害者が多発する事を暗示するような依頼でした。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。