Tag Archives: ransomlock

Cryptolocker に関する Q&A: 今年最大の脅威

サイバー犯罪者はいつでも、マルウェアを進化させる方法を探っています。ウイルス対策をめぐる研究や解析、対策が進み、ユーザー意識が向上したためマルウェアの威力が薄れ、拡散も鈍っていることから、進化が生存の鍵となっているからです。ランサムウェアは、この数年間でメディアに大きく取り上げられた結果、知らぬ間に犠牲になるユーザーが減り、その影響力や効果も半減するとともに、犯罪者にとって費用対効果も下がってきました。

このようにユーザー意識が高まった結果、2013 年最後の四半期にはサイバー犯罪の世界に新たな脅迫の手口が生まれました。それが Cryptolocker です。Cryptolocker は、貴重なデータを失うかもしれないという、ユーザーにとって最大の不安を突くことで広がっています。以前のランサムウェアはオペレーティングシステムをロックしてデータファイルを人質に取るものの、たいていは回復が可能でした。ところが、Cryptolocker は脅迫がもっと効果的になっており、攻撃者が持つ秘密鍵を使わない限り、ロックされたファイルを取り戻すことはできません。

以下の Q&A では、Cryptolocker と、それに対するシマンテックの保護対策についての概略をお伝えします。

Q: Ransomlock と Cryptolocker(別名 Ransomcrypt)の違いは何ですか?

Ransomlock と Cryptolocker の違いは、一般的に Ransomlock がコンピュータ画面をロックするのに対して、Cryptolocker は個々のファイルを暗号化してロックするという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

Q: この脅威が発見されたのはいつですか?

Cryptolocker の被害が初めて確認されたのは、2013 年 9 月です。

Q: Cryptolocker は新しい脅威グループに属するものですか?

いいえ。侵入先のシステムでファイルを暗号化して身代金を要求する類似のマルウェアグループとして、シマンテックはこれまでにも Trojan.Gpcoder(2005 年 5 月)や Trojan.Ransomcrypt(2009 年 6 月)などを検出しています。

Q: Cryptolocker の重大度はどのくらいですか?

重大度は「高」です。万一 Cryptolocker によってファイルを暗号化され、そのファイルをバックアップしていなかった場合には、まず復元することはできません。

Q: Cryptolocker に感染しているかどうかを確認するにはどうすればよいですか?

感染した場合には、次のような身代金要求画面が表示されます。

image1_18.png

図 1. Cryptolocker の身代金要求画面
 

Q: この脅威にはどのように感染しますか?

ソーシャルエンジニアリングの手口を使ったスパムメールを被害者に送りつけ、添付されている zip ファイルを開かせようと試みます。

image2_10.png

図 2. Cryptolocker スパムメールの例
 

電子メールに添付されている zip ファイルを開くと、実行可能ファイルが含まれていますが、これは電子メールの内容に合わせて請求書に見せかけたり、別のソーシャルエンジニアリング手法で偽装されたりしています。この実行可能ファイルは Downloader.Upatre で、Trojan.Zbot をダウンロードします。Trojan.Zbot に感染すると、Downloader.Upatre は感染したシステムにさらに Trojan.Cryptolocker もダウンロードします。次に Trojan.Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続しようとします。アクティブな C&C サーバーが見つかると、感染したシステムでファイルを暗号化する際に使われる公開鍵がダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)はサイバー犯罪者のサーバーに残されたままです。秘密鍵はサイバー犯罪者の手の内に残り、定期的に変更される C&C サーバーにアクセスしない限り使用することはできません。

image3_10.png

図 3. Cryptolocker の攻撃手順
 

Q: シマンテックは Cryptolocker や関連するマルウェアに対する保護対策を提供していますか?

はい。シマンテックは、この脅威に対して以下の検出定義を提供しています。

検出名 検出タイプ
Downloader ウイルス対策シグネチャ
Downloader.Upatre ウイルス対策シグネチャ
Trojan.Zbot ウイルス対策シグネチャ
Trojan.Cryptolocker ウイルス対策シグネチャ
Trojan.Cryptolocker!g1 ヒューリスティック検出
Trojan.Cryptolocker!g2 ヒューリスティック検出
Trojan.Cryptolocker!g3 ヒューリスティック検出
System Infected: Trojan.Cryptolocker 侵入防止シグネチャ

Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。

このマルウェアを検出する以前の検出定義は、一部名前が変更されています。

  • 2013 年 11 月 13 日以前のウイルス定義では、このマルウェアは Trojan.Ransomcrypt.F として検出されていました。
  • 2013 年 11 月 14 日以前の侵入防止シグネチャ(IPS)では、「System Infected: Trojan.Ransomcrypt.F」として検出されていました。

Q: C&C サーバーはどのような形式ですか?

DGA で生成される最近のコマンド & コントロール(C&C)サーバーの例を以下に示します。

  • kstattdnfujtl.info/home/
  • yuwspfhfnjmkxts.biz/home/
  • nqktirfigqfyow.org/home/

Cryptolocker はアクティブな C&C サーバーを検索するときに、見かけの類似したドメイン名を 1 日当たり 1,000 件まで生成できます。

Q: Cryptolocker はどのくらい高度ですか?

Cryptolocker 攻撃は、スパムメールとソーシャルエンジニアリングでお馴染みの手法を用いて感染を試みますが、Cryptolocker 自体も以下のように高度な技術を駆使しています。

  • Cryptolocker は、強力な RSA 2048 を使った公開鍵暗号を採用しています。攻撃者のサーバーに置かれている秘密鍵がないと、被害者は暗号化されたファイルを復号することはできません。
  • Cryptolocker は、メルセンヌツイスタ擬似乱数生成機能に基づいた DGA を採用し、アクティブな C&C サーバーを探します。

Q: この脅威の感染状況はどうですか?

この脅威に対するシマンテックの遠隔測定によると、現在は米国で多く感染が確認されています。報告されている件数は少ないものの、被害者にとって被害は深刻です。

image4_5.png

図 4. 検出が報告された上位 5 カ国
 

Q: これまでにシマンテックはこれらの攻撃に関する情報を公開していますか?

はい。シマンテックは以下のブログを公開しています。

Q: 身代金の支払いに応じるべきですか?

いいえ。けっして身代金を払ってはいけません。サイバー犯罪者への支払いに応じると、さらにマルウェアによる攻撃を助長することになります。また、仮に支払っても、ファイルが復号される保証はありません。

Q: Cryptolocker 攻撃の背後にいるのは誰ですか?

Cryptolocker 攻撃の背後にいるサイバー犯罪者については、調査が進められているところです。

Q: この攻撃の影響を受けたファイルの復元方法についてアドバイスはありますか?

はい。シマンテックテクニカルサポートが以下の記事を公開しています。

Q: 被害を受けないようにするにはどうすればいいですか?

まず、情報セキュリティに関するベストプラクティスに従って、ファイルは常にバックアップしてください。また、最新のウイルス定義対策とソフトウェアパッチを使って、システムを常に最新の状態に保ち、疑わしい迷惑メールは開かないようにしてください。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

Q: シマンテックはバックアップおよびディザスタリカバリソフトウェアを提供していますか?

はい。シマンテックは、Backup Exec ファミリー製品を提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cryptolocker Q&A: Menace of the Year

      No Comments on Cryptolocker Q&A: Menace of the Year

Cybercriminals are constantly looking for ways to evolve their malware. Evolution is the key for survival because antivirus research, analysis, countermeasures, and public awareness thwart the efficacy of malware and its spread. During the past year, Ransomware has received a lot of news coverage which has decreased the number of uninformed victims and lowered the impact and effectiveness of the malware along with the percentage of return to the criminal.

Due to this increased public awareness, in the last quarter of 2014 we have seen cybercriminals reorganize around a new type of extortion: Cryptolocker. This threat is pervasive and preys on a victim’s biggest fear: losing their valuable data. Unlike previous Ransomware that locked operating systems and left data files alone and usually recoverable, Cryptolocker makes extortion of victims more effective because there is no way to retrieve locked files without the attacker’s private key.

The following Q&A outlines Cryptolocker and Symantec’s protection against this malware:

Q: What is the difference between Ransomware and Cryptolocker (also known as Ransomcrypt)?

The difference between Ransomlock and Cryptolocker Trojans is that Ransomlock Trojans generally lock computer screens while Cryptolocker Trojans encrypt and lock individual files. Both threats are motivated by monetary gains that cybercriminals can make from extorting money from victims.

Q: When was this threat discovered?

In September 2013 the Cryptolocker threat began to be seen the wild.

Q: Is the Cryptolocker threat family something new?

No. Symantec detects other similar malware families such as Trojan.Gpcoder (May 2005) and Trojan.Ransomcrypt (June 2009) that encrypt and hold files ransom on compromised systems.

Q: What is the severity of this Cryptolocker threat?

The severity is high. If files are encrypted by Cryptolocker and you do not have a backup of the file, it is likely that the file is lost.

Q: How do I know I have been infected by Cryptolocker?

Once infected, you will be presented on screen with a ransom demand.

image1_18.png

Figure 1. Cryptolocker ransom demand
 

Q: How does a victim get infected?

Victims receive spam email that use social engineering tactics to try and entice opening of the attached zip file.

image2_10.png

Figure 2. Cryptolocker spam email example
 

If victims open the zip file attached to the email, they will find an executable file disguised to look like an invoice report or some other similar social engineering ploy, depending on the email theme. This executable file is Downloader.Upatre that will download Trojan.Zbot. Once infected with Trojan.Zbot, the Downloader.Upatre also downloads Trojan.Cryptolocker onto the compromised system. Trojan.Cryptolocker then reaches out to a command-and-control server (C&C) generated through a built-in domain generation algorithm (DGA). Once an active C&C is found, the threat will download the public key that is used to encrypt the files on the compromised system while the linked private key—required for decrypting the files— remains on the cybercriminal’s server. The private key remains in the cybercriminal control and cannot be used without access to the C&C server which changes regularly.

image3_10.png

Figure 3. Cryptolocker attack steps
 

Q: Does Symantec have protection in place for Cryptolocker and the other associated malware?

Yes. Symantec has the following protection in place for this threat:

Detection name

Detection type

Downloader

Antivirus signature

Downloader.Upatre

Antivirus signature

Trojan.Zbot

Antivirus signature

Trojan.Cryptolocker

Antivirus signature

Trojan.Cryptolocker!g1

Heuristic detection

Trojan.Cryptolocker!g2

Heuristic detection

Trojan.Cryptolocker!g3

Heuristic detection

System Infected: Trojan.Cryptolocker

Intrusion Prevention Signature

Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.

Some earlier Symantec detections that detect this threat have been renamed:

  • Virus definitions dated November 13, 2013, or earlier detected this threat as Trojan.Ransomcrypt.F
  • Intrusion Prevention Signature (IPS) alerts dated November 14, 2013, or earlier were listed as “System Infected: Trojan.Ransomcrypt.F”

Q: What do the C&Cs look like?

The following are recent examples of command-and-control (C&C) servers from the DGA:

  • kstattdnfujtl.info/home/
  • yuwspfhfnjmkxts.biz/home/
  • nqktirfigqfyow.org/home/

Cryptolocker can generate up to one thousand similar looking domain names per day in its search for an active C&C.

Q: How sophisticated is this threat?

While the Cryptolocker campaign uses a common technique of spam email and social engineering in order to infect victims, the threat itself also uses more sophisticated techniques like the following:

  • Cryptolocker employs public-key cryptography using strong RSA 2048 encryption. Once files are encrypted without the private key held on the attacker’s server, the victim will not be able to decrypt the files.
  • Cryptolocker employs a DGA that is based on the Mersenne twister pseudo-random number generator to find active C&Cs.

Q: How prevalent is the threat?

Symantec telemetry for this threat shows that the threat is not very prevalent in the wild at present. While the numbers being reported are low, the severity of the attack is still considerable for victims.

image4_5.png

Figure 4. Top 5 countries reporting detections
 

Q: Has Symantec previously released any publications around these attacks?

Yes, Symantec has released the following blogs:

Q: Should I pay the ransom?

No. You should never pay a ransom. Payment to cybercriminals only encourages more malware campaigns. There is no guarantee that payment will lead to the decryption of your files.

Q: Who is behind the Cryptolocker malware?

Investigations into the cybercriminals behind the Cryptolocker malware are ongoing.

Q: Is there any advice on how to recover files affected by this attack?

Yes, Symantec Technical Support has released the following article:

Q: Any advice on how to not become a victim?

Yes. First, follow information security best practices and always backup your files. Keep your systems up to date with the latest virus definitions and software patches. Refrain from opening any suspicious unsolicited emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

Q: Does Symantec offer backup and disaster recovery software?

Yes. Symantec has the Backup Exec Family of products.

Close Encounters of the Shadowlock Kind

In the vein of fake computer lockers everywhere, such as the Trojan.Ransomlock, Trojan.Fakeavlock, and Trojan.Winlock families, comes Trojan.Shadowlock. Unlike any of its predecessors however, this malware “encourages” users to fill out an online survey instead of outright demanding an online payoff. Online surveys in general return very little money, but they do eventually add up in the long run. In this case, it turns out the malware author has a sense of humor and left in a certain Easter egg for reverse engineers to find. The Easter egg is a sound bite of the famous five-tone motif from the movie Close Encounters of the Third Kind. The sound is iconic and has been used many times in all kinds of media. In this case, the malware author decided to implement it as part of the way the malware compromises the user’s computer.

Technical details

Once executed, the user will be shown a popup box.

Shadowlock 1.png

Figure 1. Popup box to unlock computer

This box will stay on the screen, but can be moved around. If the user attempts to close the box by clicking the X button, the program interprets this as a failed unlock attempt. Attempts to disable the malware through various tools like Task Manager, Command Prompt, PowerShell, Regedit, or MSConfig will be denied by the Trojan. Even tying to launch a restore point will be stopped by Trojan.Shadowlock. After three failed attempts to input the unlock code, the threat will shut down the system. Once the user restarts their computer, the popup box will return after 20 seconds. This provides the user 20 seconds to utilize the previously mentioned tools to neutralize the threat. It seems that this particular malware author is not that destructive. If the user chooses to take the survey, they will be presented with a list of different surveys to choose from.

Shadowlock 2 edit.png

Figure 2. Survey list

A closer look at the code reveals a few interesting tidbits. One, it has been created using .NET and requires at least version 2.0 of the .NET framework to be installed in order to function properly. By reviewing it with a .NET decompiler, we can see the inner workings of Trojan.Shadowlock.

Shadowlock 3 edit.png

Figure 3. Top layer of Trojan.Shadowlock

The top layer of Trojan.Shadowlock deals with decrypting resources. After decryption, upon analyzing the resource Loqvd, we found that it contains several functions including BotKill() and EraseStartup() which are never used by the threat. However, other functions, like ones used to decompress files, are used by the threat. The top layer is used to decrypt all three resources. Afterwards, Loqvd is then used to decompress the decrypted versions of Egg and Iudu resources. The main payload is in the Iudu resource. The author more than likely knows that .NET executables can be decompiled like this and added one more layer in an attempt to make analysis more difficult.

Shadowlock 4 edit.png

Figure 4. Iudu resource decrypted and uncompressed

Looking at the Iudu resource we find obfuscation similar to that used by JavaScript threats, and it can be de-obfuscated in a similar fashion. After some time, Shadowlock finally reveals some of its capabilities. The threat can do several things, such as killing popular browsers (Firefox, Chrome, Internet Explorer, Safari, and Opera) and disabling certain system tools. It can also eat up any available disk space and disable the Windows firewall. It can even redirect users to websites with shocking content through the default Web browser. On a more playful note, the threat can also swap mouse buttons, open the CD tray, or launch basic OS apps like Calculator or MS Paint.

Interestingly enough, a vast majority of these functions are never called in the code. Two possibilities come to mind. One is that the author may have found some code and added the survey scam on top of it. The other possibility is that the author may be testing the waters, so to speak. These functions (as well as others) may find themselves being used in a future variant. At Symantec, we protect our customers by detecting this threat as Trojan.Dropper, Trojan Horse, or Trojan.Shadowlock. According to our telemetry, this threat is not widespread. Be advised however, if you see your CD tray opening and hear eerie theme music, you may be experiencing a close encounter of the Shadowlock kind.

???????????????????????Ransomlock ??????

マルウェアの多くは、自身を変化させる機能を持っています。侵入先のコンピュータに自身をコピーするときにセキュリティソフトウェアの目を逃れること、あるいは解読したメモリ領域を実行したり解読したメモリ値を読み取ったりしてマルウェアを解析しようとするエンジニアの試みを阻害することが目的です。今回のブログでは、メモリを共有して自身の姿を変えるトロイの木馬の動作について説明します。

マルウェアのプロセスは、図 1 の赤線のように進みます。

new ransomlock 1 edit.png

図 1. 脅威のプロセスを示すコード
 

ebx-4 というアドレスは、.data セクションの先頭を示しています。初期状態では、ebx-4 は 0 なので、31h や 32h と比較すると失敗になります。

コードによってアドレス ebx-4 に 31h が書き込まれると、トロイの木馬は自身のファイル名を使って WinExec 関数を実行し、自身を実行します。次に、ExitProcess 関数を使って自身を終了します。実行時には ebx-4 の値が常に 0 なので、プログラムは単に実行と終了を繰り返しているだけのように見えますが、実際には悪質な処理を実行しています。ここが、このマルウェアの巧妙なところです。

 

ファイル構造

このファイルのサンプルには、以下のような構造の .data セクションがあります。
 

new ransomlock 2.png

図 2. ファイルサンプルの構造
 

Characteristics の rw- d0000040 は異例な構成で、以下のように設定されています。
new ransomlock 3 edit.png
IMAGE_SCN_MEM_SHARED 設定が行われているのでメモリ値が共有されています。

 

実際の動作

このマルウェアが初めて実行されたときには、アドレス ebx-4 が 0 のため、コードはこのアドレスに 31h を書き込んで自身を再実行します。再実行されたときには、ExitProcess の実行前なので、このアドレスで 31h を保持しているメモリが共有されます。
 

new ransomlock 4 edit.png

図 3. 再実行されるとプロセスは異なるルートを進む

 

新しく実行されたプログラムはこのアドレスに 32h を書き込み、自身を実行します。新しいプログラムは、このアドレスで 32h を保持しているメモリを共有します。
 

new ransomlock 5 edit.png

図 4. プロセスが復号ルーチンに達する
 

アドレスが 32h なので、プログラムは _decrypt 関数を実行し、暗号化されたコードを復号したうえでアドレス esi にジャンプします。この動作を順に示すと、以下のようになります。

  1. Windows でファイルがロードされる。
  2. アドレスはファイルの初期値として 0 をとる。
  3. 値を 31h に書き換える。
  4. 自身を実行する。
  5. Windows で共有メモリを除くファイルイメージがロードされる。元のファイルのディスクイメージでは 0 のまま。
  6. 値 31h でプログラムが実行される。
  7. 最初のプロセスを終了する。
  8. 値を 32h に書き換える。
  9. 自身を実行する。
  10. Windows で共有メモリを除くファイルイメージがロードされる。元のファイルのディスクイメージでは 0 のまま。プログラムが復号ルーチンに達し、コンピュータが危殆化する。
  11. 2 度目に実行されたプロセスを終了する。

new ransomlock 6.png

図 5. 実行順で示した動作
 

サンドボックスでのプロセスの動作

攻撃者は、自動の脅威解析システムから悪質な動作を隠そうとしていると考えられます。自動の脅威解析システムを搭載している 8 つの Web サイトにサンプルファイルを送信してみたところ、結果は以下のとおりでした。

  1. ThreatExpert では、ファイルの作成、レジストリの改変、予想外のネットワークアクセスが記録されました。この結果からこのサンプルの動作を特定し、マルウェアであると判定しました。
  2. 3 つの Web サイトでプロセスの実行が記録されましたが、そのほかの異常はありませんでした。
  3. 残る 4 つの Web サイトでは、何も記録されませんでした。

自動の脅威解析システムは、図 5 の赤い枠線で示したセクションしか監視していないようです。このタイプの特殊コードが自動の解析システムをすり抜けることは、たびたび確認されています。

シマンテックは、このタイプの悪質なコードと手口を引き続き監視していく予定です。疑わしいプログラムは実行しないようにし、オペレーティングシステムとウイルス対策ソフトウェアは最新の状態に保つことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Ransomlock Variant Bypasses Automated Threat Analysis Systems’ Sandboxes

A lot of malware modify themselves to either hide from security software when they copy themselves to the compromised computer or to hinder engineers attempting to analyze the malware by executing the decrypted memory area and reading the decrypted mem…