.osiris拡張子 ランサムウェア


[2017年4月28日更新] ファイルの拡張子を.osirisに変えて暗号化してしまう、osiris(オシリス)ランサムウェア(身代金要求ウィルス)が急速に拡大しています。
osirisウィルスに感染すると、ファイルを暗号化して人質にとり、フォイルを戻すために金銭の支払いを要求します。


osirisはLockyというランサムウェアの一種で、非常に強力な感染力と強力な暗号化を併せ持ったウィルスです。

osirisはスパムメールとして届き、そのメールにエクセルまたはワードの添付ファイルが付いています。
osirisスパムメール例


添付ファイルを開くとマクロが実行され、osirisウィルス本体をダウンロードしてパソコンにインストールされます。

osirisが起動すると、どのファイルを暗号化できるかを確認するために、ローカルドライブやネットワークドライブ、さらにクラウドストレージまで調べます。
そしてほぼ全てのファイルを非常に強力なAES128+RSA2048暗号化してしまいます。
暗号化されたファイルは「B1A9S18WA-0ADB-01ABM-QK91-2A29LMV8A1.osiris」のようにファイル名を変え、「.osiris」拡張子を付けます。

全てのファイルの暗号化が完了すると、暗号化ファイルを復元するための金銭支払い方法についての指示が記載された「OSIRIS.htm」や「OSIRIS_[英数字].htm」や「OSIRIS.bmp」といったファイルを作成します。
osirisランサムウェア身代金要求画面上記は英語の指示の例です。

aesir%e9%87%91%e9%8a%ad%e8%a6%81%e6%b1%82%e7%94%bb%e9%9d%a2

日本語での身代金要求の場合もあります。

そこにはビットコインを支払うことで、ファイルを復元する旨の記載がありますが、支払いを行ってもファイルが戻ってくる保証はどこにもありません。

osirisウィルスは、セキュリティ対策ソフトを導入していても感染した例も報告されています。
“セキュリティ対策ソフトを入れているから大丈夫”と思わずに、充分注意して下さい。
この例のように、注文(Order)メール以外にも見積もりや請求を装ったスパムメールからの感染も報告されておりますので、身に覚えのないメールが届いたら、添付ファイルは絶対に開かないでください。


万が一osirisに感染してしまった場合は、サイバーセキュリティ110番にて対応を支援します。
⇒サイバーセキュリティ110番はこちら

※感染が確認された場合、もしくは感染が疑われる場合は、まず第一にPCをシャットダウンして、ネットワークから隔離して下さい。
osirisランサムウェアの暗号化は強力なため、PCのファイルを暗号化する作業には時間がかかります(ファイルの量やPCのスペックにもよりますが)。早期に気付いてシャットダウンすることで、被害を最小限に抑えられる可能性が高まります。
また、感染後にPCを色々と操作してしまうと、復号化が可能なファイルもどんどん復号化率が下がってしまい、最悪の場合は復号化ができなくなってしまうケースもあります。
少なくとも4月28日現在、osirisランサムウェアの暗号化を復元できるソフトウェアは存在しません。“シャットダウン”と”ネットワーク隔離”そしてすぐに当社へご連絡下さい。

~2017年4月28日追記~
従来のosirisは、既述の通りメールの添付ファイルから感染しておりましたが、最近、WindowsサーバーOSをターゲットとして、不正アクセスからosirisに感染する事例が増加しています。
リモートデスクトップ接続が有効になっているWindowsサーバーに対して、Windowsアカウントのユーザー名とパスワードで不正アクセスが発生しています。
アカウントの管理の徹底と平易なパスワードを使用しない、不要なポートや不要なIPアドレスからの接続を制限するなどを見直して再確認するようご注意ください。また、ログインを連続して失敗した際のロックアウトしきい値を厳しくしたり、リモート接続ログを監視することが重要です。

osirisを含めたウィルス感染を防止するには、サイバーセキュリティ対策サービスにて、最適な対策を御提案いたします。
⇒サイバーセキュリティ対策サービスはこちら

サイバーセキュリティソリューションズにお任せください。

<