エフセキュアブログ

Ransom を含む記事

暗号化ランサムウェアのマネタイズ

 ここ数年間、仮想通貨、ダークWeb(Dark Web)、きちんと整備された犯罪者向けアフィリエイトプログラムという形で、破壊的な状況を招くように技術およびインフラの連携が取られてきた。そしてその状況から現れたのが、暗号化ランサムウェアというけだものだ。

 暗号化ランサムウェアが毎日のように報じられるのには理由がある。ここ何年かの間に目にした他のどの脅威と比べても、独特のものだからだ。暗号化ランサムウェアは被害者に実際にサービスを提供する。身代金を支払えば、ファイルを取り戻せるのだ。また派手な事例を見聞きすることも増えている。これぞ、人々がまさに行っていることなのだ。ある病院がインフラを復旧させるためにBitcoinで大枚をはたいたという最近の事例について、思い出させるには及ばないだろう。暗号化ランサムウェア業界は、毎年1億ユーロ相当の収益を得ているとの見積もりがある

 犯罪者にとって、暗号化ランサムウェアは引き続き実入りの良い金儲けの手段であり、時間の経過とともに、バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている。あらゆるビジネスと同様に、モデルの投資利益率の最適化や改善に焦点がシフトするのは必然的なことだ。我々は今日のランサムウェア・キャンペーンのビジネスモデルを、インターネット時代の幕開け期のものになぞらえている。つまり、いまだに本質的に非常にシンプルで、大方は目を向けていないのだ。結論としては、まだまだたっぷりと創造性とイノベーションの余地が残されている。暗号化ランサムウェアの背後にあるビジネスモデルは、徐々に成熟しており、我々が最近になって気付いた、あるイノベーションの試みがある。

 厳選した暗号化ランサムウェア・キャンペーンでは、とりわけ米国、英国、オーストラリア、カナダといった「第1階層」の国を標的にする。このような標的を選定したことは、支出に見合う価値という観点で理にかなっている。ランサムウェア自体をローカライズする必要はないし、標的の人口動態は相対的に裕福で、一部の研究ではこの地域の被害者は実際に身代金を支払う意思があることが示されている。

 フィッシング詐欺のキャンペーンでは、別の芸当を目にした。地域に特化して注意深く調整を行い、時にはカレンダー上の行事に合わせているのだ。当社が観察した、スウェーデンで実施されたスパムキャンペーンを例に挙げると、被害者は地元の郵便局からの到着した荷物についての、説得力のあるメッセージを受け取っていた。この種の標的型の地域限定のスパムキャンペーンは目新しいものではないが、搾取率を高める目的でキャンペーンを調整したマルウェアの担い手もいる。

 一部の暗号化ランサムウェア・ファミリーでは、被害者が支払いを行いやすくなることを期待して、サポートのインターフェイスの向上に取り組んできた。サポートサイトはより直感的に理解できるようになり、(PadCryptなど)ライブチャットのインターフェイスを持つケースもある。Bitcoinの入手方法、Tor経由でサポートサイトへ接続する方法、ファイルを取り戻す方法についての説明が、より明確になり、またより適切に提示されるようになっている。驚くようなことではないが、暗号化ランサムウェアのサポートサービスは、多くの場合において、合法的な企業が運営するものよりも優れている。余談だが興味深いことに、被害者のファイル群の復号を手助けする目的で、顧客のためにBitcoinのブローカービジネスを始める、独立系のITサポート要員も確認している。

 TrueCrypterファミリーはAmazonギフト券での支払いに対応している。またiTunes Cardでの支払いを受け付けている暗号化ランサムウェア・ファミリーも見聞きしている。これは犯罪者にとってはリスキーな手立てだと考える人もいるだろう。AmazonやAppleが、これらのカードを使った人物を簡単に追跡できるであろうからだ。判明したところでは、犯罪者たちはただちにギフト券をeBayのようなサイトに流す傾向にある。これの購入者が、帰結する結果に対処するように仕向けるのだ。米国のiTunes Storeに豪華なコンテンツ・セットがあれば、ヨーロッパで米国ベースのiTunes Cardへの要求があるだろう。

 もう1つの驚くべき方向性として、ある暗号化ランサムウェア・ファミリーが、被害者に圧力をかけて強制的に支払わせようとしていることをつかんだ。我々は最近Jigsawファミリーに遭遇したのだが、これは身代金が支払われない限り、1時間おきに消し去るファイルの数を増やしていく。全ファイルが削除される締め切りまでに、被害者には72時間が与えられる。機器を再起動したり、強制的にエージェントを殺すと、直ちに1000個のファイルが削除される。こうした戦略は、テレビや映画で見てきたような人質の状況と変わりない。残念なことに、特定の戦略によって人々の支払いが増すのか減るのかを判定できるようなデータを、我々は現時点で提供できない。

Jigsaw ransomware
身代金をお支払いくださいますか?

 これまでに挙げた例では、暗号化ランサムウェアの背後にいる人物らが、いかにさまざまなビジネスモデルを試して、投資利益率を向上させようと取り組んでいるかを示している。犯罪者たちは、大規模なランサムウェア・キャンペーンでは、気付かれてしまい、やられることを学習している。少なくとも、CryptoLockerの裏にいる人物たちは数年前に学んだ。そのため彼らは最近では、すべてより小規模にキャンペーンを実施している。しかし小規模のキャンペーンというのは、巨大な法執行機関のレーダーをかいくぐるためだけに重要なわけではない。個々の感染したコンピュータや、個々の送付されたスパムメッセージのために支払いを行わなければならない世界において、利益を最大化することにとっても重要なのだ。

 当社では最近、もし暗号化ランサムウェアの被害者になってしまったら、ファイルの復号にいくら払う意思があるかをユーザに尋ねるアンケートを実施した。

 (訳注:「 このアンケートに基づくと…、暗号化ランサムウェアが1 BTCではなく0.5 BTCを請求した場合、ほぼ3倍以上になる。」という意味)

 ショーンがこのアンケートを実施した時点で、数多くの身代金は約1 BTC、つまりちょうど400ドルであった。単純な計算を行えば、上の結論に達する。半額にすれば、収益を約3倍にできる。上述の調査を行って結論を導き出すのには、過大な負荷はかからなかった。実装するのにたいしたプログラムの行数さえ必要なかった。これらのツイートで一部のマルウェアの作者に情報を与えてしまったかは定かでないが、最近、身代金が低価格化している傾向をつかんでいる。

 ただ、この情報を手に入れたランサムウェアの作者ばかりではなかったようだ。ほんの数日前、新たな種族の暗号化ランサムウェアが出現した。これは身代金を義援金だとうたっている。しかしながら、5 BTC、つまり記事を書いている時点で約2,200ドルなのだ。だいたいの人はそんなに気前よくない、と我々は思う。

 この先いつの日か暗号化ランサムウェアで用いられる価格体系に、より高度で洗練されたものが適用されているのを見ることになると予期している。現時点では、当該ソフトウェアはかなり知力を欠いていて、すべての感染したマシンで身代金を固定額で設定している。我々はある時点で変動価格体系がお目見えすると予想している。おそらく暗号化されるファイルの数や種類に基づくなり、マシンが個人所有のコンピュータかサラリーマンが使っているものかをソフトウェアが検知するなりするのだろう。1 BTCという身代金は大半の個人にとってはちょっと高額だが、多くの企業にとっては微々たる金額だ。

 数多くの暗号化ランサムウェア・ファミリーはすでにネットワーク共有にも感染させるように試みているが、インテリジェントな方法で行っているものはない。理論上、被害者は1回支払えば、ネットワーク共有のファイルも含め、全ファイルを取り戻せる。この理由から、開発者たちがソフトウェアに知能を組み込んで、より効率的にネットワーク中に伝播させるのを、我々は目撃することになると予期している。感染させるマシンの数を増やし、再度触れるが、環境に応じて身代金の額を決めるのだ。

 クライムウェアのアフィリエイト・ネットワークやマルウェア・キャンペーンの裏にいる人物たちは、すでにビジネス的な判断力の旺盛さを示している。こうした人達がもうけ、つまり投資利益率を最大化する仕事を与えられたとき、価格体系や、使いやすさ、ネットワークでの伝播、あるいはスマートな標的選定に基づき、ソフトウェアやプロセスのモデルをより創造的に考案することは、想像に難くない。近い将来、暗号化ランサムウェアで使われるビジネスモデルとマネタイズモデルの双方で、洗練度が増すのを見る羽目になるのを我々は十分に予想している。

「Petya:ディスク暗号化ランサムウェア」に感染したマシンの復旧

エフセキュアブログによると、Petyaに感染するとマシンを復旧する方法は一つしか無いと書かれています。

エフセキュアブログ : Petya:ディスク暗号化ランサムウェアより抜粋
サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない:)
皆さんお分かりかと思いますが、これはエフセキュアブログ流のジョークであり、実際には「復旧方法は無い」という意味の文章です。

しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya mission accomplished!!!)
もはやPetyaに身代金を支払う必要はありませんし、デバッガを使う必要もありません。

復旧までの道のりを簡単に紹介します。
続きを読む

明らかによろしくない分類

毎度示唆に富んだ記事が投稿されることで人気を博しているエフセキュアブログですが、先日も大変趣のある記事が投稿されました。

エフセキュアブログ : Locky:明らかによろしくない振る舞いより引用:
当社のソフトウェアDeepGuardを実行している場合、ビヘイビア検知エンジンが、Lockyの用いる攻撃の媒介メールと、マルウェアの振る舞いの双方を阻止する。すでにかなり長い間、双方とも検知している。
(中略)
Lockyおよびそのバリアントに関連する悪意ある振る舞いは、以下の3つの検知によりブロックする。
  •     Trojan-Dropper:W32/Agent.D!DeepGuard
  •     Trojan:W32/Pietso.A!DeepGuard
  •     Trojan:W32/TeslaCrypt.PE!DeepGuard
(中略)
もしこのJavaScriptを実行すると、Lockyの実行ファイルをダウンロードし実行する。このバリアントはTrojan-Downloader:JS/Dridex.Wとして検知する。

要するに、LockyというランサムウェアはTeslaCryptやDridexとかの名称で検知する、と。
ほとんどの方は意味が理解できていないと思いますが、TeslaCryptもDridexもLockyとは全く異なるマルウェアだけど、検知するんだからまあいいじゃん、というブログ記事です。
実際のところ、ウイルス対策ソフトの役割はマルウェアを検知して感染を食い止めることであり、白か黒かの判断さえ間違っていなければOKというスタンスなので、方針として間違ってはいないわけですが、フィンランド企業の洗練されたイメージからするとちょっと意外です。
(お客様からのインシデント報告を受けて対応する私の立場からすると、ランサムウェアとバンキングマルウェアとでは対応が全く異なりますので、ちょっと困るのですが。)

このあたりの大雑把さ加減や努力の諦め具合を各社と比較してみると面白いです。

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)
2016/2/16 2016/3/24
エフセキュア 検知せず Trojan.GenericKD.3048336
カスペルスキー 検知せず Trojan-Ransom.Win32.Locky.d
マイクロソフト 検知せず Ransom:Win32/Locky!rfn
シマンテック Suspicious.Cloud.5 Trojan.Cryptolocker.AF
トレンドマイクロ 検知せず Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

2016/3/23 2016/3/28
エフセキュア
Trojan-Downloader:JS/Dridex.W Trojan-Downloader:JS/Dridex.W
カスペルスキー
HEUR:Trojan-Downloader.Script.Generic Trojan-Downloader.JS.Agent.jkb
マイクロソフト 検知せず 検知せず
シマンテック 検知せず 検知せず
トレンドマイクロ 検知せず JS_LOCKY.KB
#ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

暗号化ランサムウェアに関するFBIの回答

 2015年12月、ロン・ワイデン米国上院議員はFBIに対し、暗号化ランサムウェアに関する情報を求める書簡を送った。これについては、この記事で書いた。その後、何週間か前に私は検索したのだが、FBIの回答内容を見つけ出せたのは、politico.comのペイウォール(paywall、支払いの壁)の向こう側だけだった。

 そんなわけで私は、このことをワイデン上院議員のTwitterアカウントにつぶやいた…。すると同氏の広報担当者が、FBIの書簡へのリンクと共に返答をくれた!(Twitterはこのようなことに長けている)

 ワイデン上院議員の質問のうちもっとも重要なものの1つは、FBIは「ただ身代金を支払うように(just to pay the ransom)」と人々にアドバイスしているか、というものだ。

Does the FBI advise people to just pay the ransom?

 公式回答は、FBIは支払うべきか否かをアドバイスしていない、だ。しかし被害者が予防措置を取っていなかったら…、ファイルを復旧するために残された選択肢は支払いをすることだけだ。

 以下に全6ページの回答がある。

 ワイデン上院議員宛てのFBIの書簡 [PDF]

CryptoWallのZipファイルの中身は1,000ドルだ

 「Payment is made successfully(支払いが成功しました)」

 以下は、身代金を支払った後の、CryptoWallのDecrypter Service(復号サービス)の画面だ。

Payment is made successfully.

 そして、あなたのお金 Bitcoinで得られるものが、これ(decrypt.zip)だ。

The contents of decrypt.zip.

 全然大したものではない。しかし、あなたのキーのコピーがなければ、ファイルを復号することはできないのだ。

 これが、おそらくFBIが次のように言う理由だ。

 「To be honest, we often advise people just to pay the ransom.(正直に言って、ただ身代金を支払うようにとアドバイスすることも多い)」

 FBIのアドバイスに従わなければならない状況になりたくない?

 それなら、以下をするといい。

  • 自分のデータをバックアップする!
  • 使わないソフトウェアやブラウザのプラグインをアンイストール・無効化する
  • 使用するソフトウェアを最新の状態に保つ

 @5ean5ullivan

ランサムウェアから身を守るための裏ワザ

エフセキュアブログでも頻繁に取り上げられているように世界中でランサムウェアが猛威を振るっています。
PC内のファイルを暗号化し使えなくすることで、重要なファイルを人質に取り、元に戻して欲しければ身代金(ランサム)を払え、というやつです。

TorLocker

どのアンチウイルスベンダーも再三警告しているのにも関わらず、感染被害は減る気配がないどころか増える一方です。
理由は、アンチウイルスベンダーと一般ユーザの間には次のような溝があるからだと思われます。

続きを読む

CTB-Lockerへの感染が増加中

 近頃、CTB-Lockerという悪質なファイル暗号ランサムウェアへの感染が、大幅に増加しているのを観測している。

CTB-Locker infection statistics
本年におけるCTB-Lockerの総感染数に対する1日あたりの感染数の割合

 CTB-Lockerはスパムメール経由で拡散するのがもっとも一般的だ。こうしたメールにはたいていzipファイルが添付されている。このファイルはさらに別のzipファイルを格納しており、最終的には実行形式のscrファイルが入っている。この実行ファイルは悪意のあるダウンローダーで、Dalexisと呼ばれている。ユーザが当該scrファイルを実行すると、Dalexisは事前に定義された一連の侵害されたWebサイトへの接続を試みる。こうしたWebサイトは暗号化したCTB-Lockerを提供している。続いてDalexisはCTB-Lockerをダウンロードし、復号、実行へと進む。他の事例では、悪意のある添付ファイルがzipファイルではなくcabファイルになっている。繰り返しになるが、cabファイルは実際にはDalexisで、被害者のコンピュータをCTB-Lockerに感染させる。

Example of spam used to spread CTB-Locker
CTB-Lockerの拡散に使われるスパムメールの例

 感染すると、CTB-Lockerは被害者のファイルを暗号化し、ランダムに生成した7文字の長い拡張子をオリジナルのファイル名に追加する。加えて、ユーザのローカルの一時ファイル用フォルダに自身のコピーを書き込む。名前はランダムに生成された7文字のもので、exeという拡張子が付く。CTB-Lockerを継続的に実行するために、ランダムに生成された7文字の名前でタスクのスケジューリングを行う。最後にCTB-Lockerは身代金についての注意書きと、身代金支払いに残された時間を示すカウントダウンタイマーを被害者に提示する。さらに被害者のデスクトップの壁紙も、同じ身代金支払いの指示を含む画像へと変える。最後に、被害者のMy Documentフォルダに、同じ指示が画像ファイルとテキストファイルの両方で格納される。ファイル名はそれぞれDecrypt All Files [ランダムな7文字].bmpとDecrypt All Files [ランダムな7文字].txtだ。身代金の指示では、被害者に特定のBitcoinアドレスに宛ててBitcoinで支払うよう案内している。ほとんどの事例で、身代金は3 BTC(おおよそ650米ドルもしくは575ユーロ)であることを確認してきた。

CTB-Locker ransom notice
CTB-Lockerが表示する身代金についての注意書き

 CTB-Lockerが使用する暗号方式を破る方法は分かっていない。したがって、バックアップから復元するか、マルウェアの運用者から復号鍵を受け取るしか、被害者が自身のファイルを戻す方法はない。ただし、マルウェア運用者の犯罪行為に資金援助するだけなので、決して身代金を支払うべきではない。また身代金を支払うことで実際にファイルが元に戻る保証は何もない。これはただひたすらこの犯人の信頼性次第だ。

 CTB-Lockerやその他のファイル暗号ランサムウェアの脅威から身を守るには、最新のアンチウィルス・ソリューションを確実に実行するようにすべきだ。また、メールの添付ファイルとして受け取った実行ファイルを開かないように注意する必要もある。予防的な措置に加えて、ランサムウェアの感染によって引き起こされる被害を最小化するようにするのも良い考えだろう。もっとも重要なのは、データすべての定期バックアップを取ることだ。ネットワーク共有を利用しているなら、一層の注意を払わなければならない。CTB-Lockerはネットワークストレージや他のマッピングされた共有ドライブも含め、全てのマウントされているドライブから暗号化するファイルを探す。こうした場合には、共有ドライブへの書き込み権限を制限し、厳密に必要なときのみマウントするように検討することをお勧めする。

 当社ではCTB-Lockerを
Trojan.CTBLocker.Gen.1およびTrojan.Downloader.CryptoLocker.Fのように種々に検知する。

 また、CTB-Lockerへと導く、悪意のある添付ファイルは
Trojan-Downloader:W32/Dalexis.Bとして検知する。

 サンプルのハッシュ値:

 6eb03d6cb4f9a5aae49a9d85652a4daa4f984ba8 (Dalexis)
 f1897120c2bbcd5135db0295249118aa5f5eb116 (Dalexis)
 81f68349b12f22beb8d4cf50ea54d854eaa39c89 (CTB-Locker)

 CTB-Lockerへの感染を示唆するファイル:

 %TEMP%\[ランダムな7文字].exe
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].bmp
 %USERPROFILE%\My Documents\Decrypt All Files [ランダムな7文字].txt
 ランダムな7文字の拡張子を持つ任意のファイル

OphionLocker:ランサムウェア・レースに参戦

 今年8月、SynoLockerCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。

 今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。

 感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。

 このランサムウェアは、次の拡張子を持つファイルを暗号化する。

extensions (8k image)

 以下は、暗号化後にユーザに表示するメッセージだ。

ransom_pop (14k image)

 ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。

tor_hwid_instruction2 (20k image)

 hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。

ransom_page2 (32k image)

 ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。

fake_ransom (41k image)

 無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。

 復号機能を試すと、以下のメッセージが示される。

decryptor_message (9k image)

 「OK」をクリックすると、直後に別のメッセージをポップアップする。

decryptor_message2 (6k image)

 ただ残念ながら、どのファイルも復号されなかった。


 SHA1:
 eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D


CryptoWallが2.0にアップデート

 この夏、人々がもっとも動向を追いかけていたランサムウェアファミリーがCryptoWallだ。CryptoWallにはマイナーな更新や変更が時間とともに見られたが、コアの機能はほとんど同じだった。マシンがいったん感染すると、CryptoWallは被害者のハードドライブのコンテンツの暗号化を試み、次にコンテンツを元に戻すために必要な復号キーと引き換えに身代金を支払うように要求する。

 ここから大きく変革するのは、数か月前にあったきりだ。当社でいくつかのCryptoWallのサンプルを観察したが、C&Cサーバとの通信にカスタマイズしたTorコンポーネントを使っていた。このTorコンポーネントについては、暗号化されたバイナリファイルとして侵害されたWebサイトからダウンロードする。続いてファイルを復号し、C&Cサーバへ到達できるTorネットワークへの接続の確立に使用する。興味深いことに、当社ではこうした「Tor化した」バージョンのCryptoWallをわずかしか観察しなかった。当社で目にしたサンプルの大半は、オリジナルのC&C通信の方式を守り続けていた。

 現在では、これが変わった可能性がある。ほんの昨日のことだが、自身を「CryptoWall 2.0」と称するランサムウェアのサンプルが初めて世間で認知された

Screenshot of CryptoWall 2.0 ransom page
CryptoWall 2.0の身代金ページ

 CryptoWall 2.0は新たなパッカーや難読化ツールを使っているようで、デバッグや静的分析に対抗するトリックの数を増やしている。しかしながら、最終的に悪意あるペイロードに至ると、この夏に見られたTor化されたCryptoWall 1.0のサンプルと、CryptoWall 2.0はほとんど同一だ。

CryptoWall 1.0 CryptoWall 2.0
Tor化されたCryptoWall 1.0(左)とCryptoWall 2.0の同一の関数(右)

 おそらく、C&Cサーバをシャットダウンしようとしたセキュリティ研究者の尽力が、ギャングたちのビジネスに損害を与えたのだろう。あるいは、ギャングたちは単に変更するときが来たと感じていたのかもしれない。いずれにせよ、作者(たち)は新たなC&C通信の方法が必要だと明らかに感じていたのだ。そしてプロフェッショナルなソフトウェア開発者のように、CryptoWallの作者(たち)は完全に新しいものに切り替える前に、まずは直前のバージョンにきっちり沿って新しいバージョンをテストしようとしているように見える。我々は、Tor化されたバージョンのCryptoWall 1.0はまさにそれ、つまりテストだと考えている。したがって、近い将来、CryptoWall 2.0をずっとたくさん目にすることを予期している。

侵害された、Torコンポーネントのダウンロードサイトの一覧:

 hxxp://www.m[編集]urg.ch/wordpress/f0k1ats
 hxxp://www.ar[編集]a.com/blog-trabajos/n65dj17i1836
 hxxp://www.ar[編集]er.cz/o515ujx2f
 hxxp://www.fd[編集]rg.de/wp-content/themes/fdp-asz/vrf8iu27h
 hxxp://www.cu[編集]n.de/z6lub76lz295x
 hxxp://www.ho[編集]t.com/5gr4hl2tvv
 hxxp://www.me[編集]o.com/wp-content/themes/mh/3sbgwh
 hxxp://ep[編集]n.ca/blog/eo7ycomyy
 hxxp://www.pr[編集]al.com.br/site/hr38xc4
 hxxp://www.ji[編集]e.be/s5eroewr
 hxxp://www.je[編集]r.at/jesneu/wp-content/themes/Girl/0l9u4lc6che
 hxxp://www.dr[編集]en.de/wordpress/3uh2e
 hxxp://www.ye[編集]ak.com/kf4bv
 hxxp://www.ro[編集]es.com/l449jbc0
 hxxp://www.mc[編集]ld.com/u2m8bbkln3fqpe
 hxxp://www.fe[編集]an.com/wp-content/themes/s431_Blue/bh7u09cpppg5h
 hxxp://www.sp[編集]es.co.uk/blog/f040z4d5d21z5rd
 hxxp://www.ch[編集]ng.co.uk/blog/wp-content/themes/the-beach-house/6k8elm10.bin
 hxxp://www.gr[編集]en.com/wp-content/themes/jarrah/ghd4vowtha0s.bin

.onionドメインのC&Cサーバ一覧:

 crptarv4hcu24ijv.onion
 crptbfoi5i54ubez.onion
 crptcj7wd4oaafdl.onion
 crptdtykhkmux333.onion
 crpterfqptggpp7o.onion

CryptoWall 2.0のサンプルのハッシュ:

 e6325fc7f7168936aa9331ac707b4c3cc186b46e

Tor化されたCryptoWall 1.0のサンプルのハッシュ:

 00e0960099ec6381aa9bf1f11b536e3e32ffa635
 3370f29350115af162b613c45fd5a6a44315a213
 6698bb2df60685863a664e282e493ca1e886fec3
 672d6b7e31fe8f6250c6831d139012b87440274c
 f21c073e57ad8a5b73139fbd4361c8985a83c9c9

 Post by Artturi Lehtio (@lehtior2)

AndroidのランサムウェアSLockerは、TORやSMS経由で通信する

 2週間と少し前、Androidの新たなランサムウェアのファミリーである、SLockerを我々は発見した。

 直近に発見されたAndroidマルウェアのKolerと、SLockerが関連しているという証拠は得ていない。しかしながら、Kolerのもたらした脅威をSLockerも成し遂げている。Kolerは実際にはファイルを暗号化しないが、そのように装う。それと異なり、SLockerは端末のSDカードに対して次のような特定のファイルタイプを実際にスキャンする。

slocker (3k image)

 SLockerアプリが起動されると、これらのファイルを暗号化した後、身代金を求めるメッセージを表示する。

Ukraine ransom

 メッセージには、ファイルを復元するためにはオンライン送金サービスにより送金する必要があることが示されている。このメッセージに挙げられている電話番号は、ウクライナのものだ。

 現在のところ、SLockerのファミリーには2つのバージョンがある。1つ目のバージョンではTORを用いて、感染した電話機とマルウェアのC&Cサーバ間の通信用のネットワークを匿名化している。このバージョンではデバッグ情報がすべて有効になっているので、テスト用のバージョンではないかと弊社では推測している。

 SLockerの2つ目のバージョンは、TORが有効になったバージョンと同時期に出現したが、簡素化されている。こちらのバージョンでは(暗号化やハードコーディングされた同一の復号キーを含め)同じコードを共有しているが、デバッグ部分はもはや存在しない。最大の違いは、このバージョンではTORを使用していない点だ。その代わりSMSメッセージ経由で指令を行う。

SLocker permission

 また特筆すべきは、TORを有効にしたバージョンと違い、こちらのバージョンは身代金メッセージの中でロシアの電話番号を掲載し、ロシア通貨を要求しているところだ。

Russia ransom

 我々はさらに深く掘り下げてC&Cサーバを辿り、そのIPアドレスがさかのぼること2005年に、ある個人に登録されていたことを突き止めた。現在は、そこでロシアに拠点を置くWebホスティングサービスが提供されている。

 2つ目のバージョンのSLockerはC&C通信にTORを用いない点において洗練度合が下がるが、依然として活発に開発が行われているように見受けられる。なぜなら、我々が入手した当該バージョンの最新のサンプルには、いまや端末のカメラを用いて写真を撮る機能が搭載されているためだ。今後に渡って、SLockerの作者(達)が開発を続けていく可能性は高い。

—————

Post by — Mikko Hyykoski

ProTip:Appleを使う?パスコードを有効に!

 本日、Appleの興味深いセキュリティニュースが報じられた。どうやら一部のApple機器が、Appleの「iPhoneを探す」機能を通じて乗っ取られてきたようだ。どうやって?脆弱なパスワードを持つiCloudアカウントなど、防御が甘いiCloudアカウントが使われた模様だ。

 iCloudにアクセスした時点で、「iPhoneを探す」の「紛失モード」へアクセスできるようになる。これはその機器をロックし、「見つけて下さったらお礼します。次の番号にお電話を」といったメッセージを送信するために使うことができる。

iCloud, Lost Mode

 あるいは、ゆすりを企てることも可能だ。

 以下は同僚のドイツ人が所有するiPhoneでの例だ。

Find My iPhone

 前述のリンク先によれば、「Oleg Pliss」がPayPalアカウントへの送金を要求している。iPhoneユーザがパスコードを設定していれば、デバイスのロックを解除できる。もし設定していなければ…、問題が生じることになる。

 なお、「iPhoneを探す」機能に「消去」オプションがあることは、お伝えする価値があるだろう。ゆすり以外に、あなたのiPhoneが焼かれる可能性もあるのだ。そしてiCloudがコンタクトやカレンダーへのアクセスを提供していることも忘れてはならない。

 つまり…パスコードの有効化に加えて、あなたのApple/iCloud/iTunesアカウントに強力かつユニークなパスワードを使用する必要がある。もちろん、アプリを購入する際に入力することは煩わしいだろう。しかし、これは払う必要のある対価なのだ。

 あるいは、iCloudの機能を無効にするとよい。

 「Identify the critical accounts to protect, and then make sure the passwords for those accounts are unique and strong.(保護すべき重要なアカウントを特定し、次にこうしたアカウントのパスワードがユニークで強力であることを確認する)」

 To Doリスト:

 1)パスコードを有効に!(必ずしも直ちに求められるわけではない)
 2)自身のApple/iCloud/iTunesのパスワードをリセットする

 オプション(ただし強くお勧めする):

 3) パスワードマネージャを入手する

「FBI」の「ランサムウェア」とMacについて

 AppleのMac OS Xのユーザを狙った、FBIを騙った身代金詐欺について、月曜日、Malwarebytesの研究員Jerome Segura氏が秀逸な記事(と動画)を投稿した。

 主なポイントは次のとおり。
  • Segura氏はBing ImagesでTaylor Swiftについて検索をしていて詐欺を発見
  • 画像をホストする侵害されたサイトから、警察を騙ったランサムウェアのWebページへリンク
  • 通常の感覚では、トロイの木馬型のランサムウェアで、これ単独では真の「ウェア」ではない
  • 罰金とされるものを支払うように人を陥れようとする際に、この詐欺では巧妙で持続するタイプのJavaScriptを使用
 そしてこれから、我々は何点かの注意を追加することで貢献したいと思う。

 Segura氏はカナダにいて、FBIを模したWebページに飛ばされた。これはおそらくSegura氏のIPアドレスが北米のものだったか、あるいは米国にあるプロキシサーバを使っていたのだろう。

 ヨーロッパでは、Europolを騙ったものになった。 

Europol_Ransom_Scam_Mac

 そしてこの詐欺では、EuropolのようなURLを使用している。

Europol_Ransom_Scam_Mac_Locked

 また、Safe Macからのこのコメントが説明するところによると、こうした詐欺ではMacのみを標的にしているのではない。

TheSafeMac_FBI_Ransomware

 クライムウェアキットは常にすべてのものをターゲットにしている。Windows、Macなど各OSだ。

 しかし大半は…、マルウェアでMacを狙うための、都合のいいエクスプロイトのベクターが存在せず、そのため代わりに「スパム的な」ものへリダイレクトしている。たとえば、先ほどの身代金詐欺が明らかになったところなので、FBIやEuropolのURLから現状どこにリダイレクトしているかを以下に挙げる。

Find Your Adult Friend

 Find your Adult Friend:スクレイピングした画像を使っているサイトだ(避けるように)。

オーストラリアで医療記録が暗号化され、身代金が要求される

 ABC放送(Australian Broadcasting Corporation、オーストラリア放送協会)によると、オーストラリアのゴールドコーストにある小規模医療事業者が保有するサーバがハックされ、患者の記録が暗号化された。そして、4,000ドルの身代金の要求があった。

Miami Family Medical Centre
画像提供元:Google

 オーストラリア版のSC Magazine誌では、今年すでに同様のハックについて報じている。

 2012年中に見てきたランサムウェアの大半は個人をデスクトップPCから締め出すことに焦点を合わせたものだったので、我々はこの興味深い進化に衝撃を受けた(当社のH1 Threat Reportのransomwareの節を参照のこと)。

 (慎重に扱うべき医療記録が巻き込まれるものを含めて、)2012年の間「ハクティビスト」が引き起こす侵害は数多くあった。実際には、そのことには大きな驚きがあるわけではないし、驚くべきでもない。一部の犯罪者は、ハッカーと同じ行為から利益を得る方法を開発してきたのだ。今回の事件はトレンドの始まりであり、2013年にはオーストラリア以外の世界でも見られるのだろうか?

ZeuSランサムウェア機能:win_unlock

  今日、毎日のデータマイニングを行っている際に、ZeuS 2.xの新しい亜種に遭遇した。これには「win_unlock」という新しいバックドアコマンドが含まれていた。非常に興味深いことに、若干修正されたこのZeuS 2.xには、ランサムウェア機能が含まれていることが分かった。

  この亜種が実行されると、特定のページ(lex.creativesandboxs.com/locker/lock.php)でInternet Explorerが開かれ、ユーザが感染したシステムで何もできなくする。開かれたWebページはおそらく、ある種の恐喝メッセージを表示したのだろうが、現在はサイトがオフラインのため定かではない。

  システムをアンロックする最も簡単な方法は、ただトロイの木馬を削除すれば良い。同トロイの木馬は感染したシステムで何も行えなくするため、これは少々トリッキーだが、幸運なことに、ロッキング自体はむしろ簡単に停止できる。

  受けとったwin_unlockコマンドと一致するコードを見ると、アンロック情報がレジストリに保存されていることは明らかだ。

ZeuS, ransom feature

  したがってアンロックはレジストリエディタを使用して、非常に簡単に実行することができる:

  1. セーフモードでシステムを起動
  2. HKEY_CURRENT_USERの下にsyscheckという新しいキーを追加
  3. syscheckキーの下に新しいDWORD値を作成
  4. 新しいDWORD値の名称をCheckedに設定
  5. Checked値のデータを1に設定
  6. 再起動

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko

警察のランサム型トロイの木馬に関する混乱したニュース

  コンピュータセキュリティは分かりにくい。簡単に書けるトピックではない。マスメディアはしばしば、詳細を誤解することがある。

  しかし、警察をテーマとしたランサムウェアほど混乱したニュース記事はめったにみたことがない。

  では、警察をテーマとしたランサムウェアとは何なのか? それはオンライン犯罪者が拡散する、悪意あるトロイの木馬だ。

  何をするのか? それらは人々のPCをチェックして、システム上に違法なコンテンツがあるため、警察によりロックされたとつげ、PCを使えるようにするために支払いを要求する。

  我々は以前、このような警察をテーマとしたランサムウェアについて書いたことがある。詳細については、この記事をご覧頂きたい。

  明らかに、警察を装うこうしたトロイの木馬は、ドイツ連邦警察局とも、ニュー・スコットランドヤードとも、米司法省とも無関係で、こうしたブランドを盗んでいるに過ぎない。

  しかし今日、我々はANIという通信社が、このトピックに関する混乱した記事を出したのを見かけた。

  この記事は、「詐欺はスコットランドヤードのサイバー犯罪専門の警官たち、Police Central e-Crime Unitによるものと考えられ」「スコットランドヤードは、警察がウイルスの背後で小児性愛者もしくはテロ活動を検出した」と述べている。

aninews

  この記事はThe Telegraphに先に掲載された記事を引用しているが、こちらは詳細を正確に捉えている。

  ANIは通信社なので、この記事は既にWebのあちこちに再掲載されている。

aninews

  いや、これら警察を装うトロイの木馬は、警察によるものではない。我々を信用して欲しい。


ローカライズされたランサムウェアでフィンランド人が標的に

ここ数日、我々はフィンランド語にローカライズされ、フィンランド警察からのものだと称するランサムウェアが、フィンランド人を標的にしているという報告を受けとっている。

  問題のランサムウェアは、我々が「Trojan:W32/Ransom」と呼んでいるファミリーの一部で、ヨーロッパの数カ国でローカライズされている:ドイツ;英国;スペイン;そしてフィンランド。全ての国で、このソーシャル・エンジニアリング手法は同一だ。感染すると、同ランサムウェアはInternet Explorerをフルスクリーンに拡大(F11)し、地元の警察部隊からとして、ユーザのコンピュータが幼児虐待および動物虐待を含むサイトをブラウジングするのに使用されているというメッセージを表示する。また、テロリズムに関連するトピックの電子メールスパムを送信するのにも用いられており、罰金を支払うまではロックされるとも主張する。

kuvakaappaus
Image: Poliisi

  このケースでは、ランサムウェアは「Tietoverkkorikosten tutkinnan yksikko」、翻訳すると、情報ネットワーク犯罪ユニットからのものだと主張する。しかしフィンランド警察には、このような名称のユニットは無い。また、フィンランド語のクオリティもあまり高く無く、連絡先が「cyber-metropolitan-police.co.uk」となっていることも注意すべきだ。更に調査したところ、「cyber-metropolitan-police.co.uk」ドメインは、ポーランドのGette居住の架空の人物「be happy」氏に登録されていることが分かった。何とも信頼できそうなことだ。

  フィンランド語の身代金メッセージは、 Paysafecardを使用して支払いするよう求めている。これは匿名のオンライントランザクションで使用できる使い捨てのプリペイドカードだ。フィンランドのキオスクで全国的に販売されている。

  「エフセキュア インターネット セキュリティ」はTrojan:W32/Ransomの既知の亜種を、ファミリーネームもしくはジェネリックディテクションネームで検出するが、いつものように、注意した方が良い。我々のバックエンド統計は、これが確かに「liikkeella」(イン・ザ・ワイルド)であることを示しているのだ。

  このトロイの木馬の最初の感染ベクタは、JavaランタイムエクスプロイトかAdobe Acrobat PDFリーダーエクスプロイトだったが、使用されている新規の(ゼロデイ)エクスプロイトについての情報は無い。

  よって安全を守るには:

1. Acrobat PDFリーダーを最新版にアップデートするか、他のPDFリーダーにスイッチすること。
2. Javaランタイムをアップデートする。あるいは、Javaが必要ないなら、アンインストールするのが非常に望ましい。Javaが必要ならば、少なくとも使用していない時はブラウザで使用停止することを考えて欲しい。もしくは、Javaが未知のサイトから実行される前に知らせてくれるGoogle Chromeにスイッチしよう。

  もしランサムウェアによりコンピュータに障害が起きているなら、マルウェアの作者に一切支払をしないこと。ほとんど全てのケースで、支払をしたところでコンピュータは解放されないのだ。また、フィンランド警察も、世界のいかなる警察も、罰金の支払いにPaysafe、Ucash、あるいはその他のプリペイド請求システムを使用することは無い。もしメッセージが、クレジットカードもしくはその他の支払い方法を求めた場合は、ほぼ間違いなく詐欺であり、本物の政府職員では無い。

リンク:

  •  フィンランド警察の勧告 08.03.2012
  •  フィンランド警察の勧告 09.03.2012
  •  Cert-FIの勧告

ビデオ - 「Windows Activation」Ransom Trojan

  我々は先頃、以下のプロンプトを出すRansom Trojanに遭遇した:

「Windowsライセンスをロックした!」

ransom_Trojan.Generic.KDV.153863

  このトロイの木馬は、「アクティベーションを完了しなければならない」と主張して、いくつかの電話番号を提供する。

ransom_Trojan.Generic.KDV.153863

  その番号は以下の通り:

  •  002392216368
  •  002392216469
  •  004525970180
  •  00261221000181
  •  00261221000183
  •  00881935211841

  同トロイの木馬は、通話は「無料である」と主張するが、実際はそうではない。そしてトロイの木馬の作者はShort Stoppingとして知られるテクニックにより、その通話から利益を得る。

  3分ほど後、電話をかけた人に「1351236」というアンロックコードを与えられる。

  電話がかけられるたび、与えられるコードは同一のようだ。

  これはかなり賢い、ちょっとしたソーシャルエンジニアリングであり、犠牲者の中には自分たちが詐欺にあったと気付かないケースもある。

  以下はラボのYouTubeチャネルでのビデオデモンストレーションで、他のRansom Trojanに関するディスカッションも含まれている。



  ビデオ内で言及されているGPcodeスクリーンショットは、ここここで見ることができる。

  我々はこのトロイの木馬(md5: 9a6f87b4be79d0090944c198a68012b6)を「Trojan.Generic.KDV.153863」として検出している。

  ランサムナンバーに我々がかけた通話の完全な録音はここにある(MP3、4分)。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード