この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。

 ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。

 現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された

Screenshot of CryptoWall 2.0 ransom page
CryptoWall 2.0の身代金ページ

 CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。

CryptoWall 1.0 CryptoWall 2.0
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)

 おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。

侵害された、Torコンポーネントのダウンロードサイトの一覧:

 hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
 hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
 hxxp://www.ar[編集]er.cz/o515ujx2f
 hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
 hxxp://www.cu[編集]n.de/z6lub76lz295x
 hxxp://www.ho[編集]t.com/5gr4hl2tvv
 hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
 hxxp://ep[編集]n.ca/blog/eo7ycomyy
 hxxp://www.pr[編集]al.com.br/site/hr38xc4
 hxxp://www.ji[編集]e.be/s5eroewr
 hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
 hxxp://www.dr[編集]en.de/wordpress/3uh2e
 hxxp://www.ye[編集]ak.com/kf4bv
 hxxp://www.ro[編集]es.com/l449jbc0
 hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
 hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
 hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
 hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
 hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin

.onionドメインのC&Cサーバ一覧:

 crptarv4hcu24ijv.onion
 crptbfoi5i54ubez.onion
 crptcj7wd4oaafdl.onion
 crptdtykhkmux333.onion
 crpterfqptggpp7o.onion

CryptoWall 2.0のサンプルのハッシュ:

 e6325fc7f7168936aa9331ac707b4c3cc186b46e

Tor化されたCryptoWall 1.0のサンプルのハッシュ:

 00e0960099ec6381aa9bf1f11b536e3e32ffa635
 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3
 672d6b7e31fe8f6250c6831d139012b87440274c
 f21c073e57ad8a5b73139fbd4361c8985a83c9c9

 Post by Artturi Lehtio (@lehtior2)