Tag Archives: Ransomware

Cryptolocker に関する Q&A: 今年最大の脅威

サイバー犯罪者はいつでも、マルウェアを進化させる方法を探っています。ウイルス対策をめぐる研究や解析、対策が進み、ユーザー意識が向上したためマルウェアの威力が薄れ、拡散も鈍っていることから、進化が生存の鍵となっているからです。ランサムウェアは、この数年間でメディアに大きく取り上げられた結果、知らぬ間に犠牲になるユーザーが減り、その影響力や効果も半減するとともに、犯罪者にとって費用対効果も下がってきました。

このようにユーザー意識が高まった結果、2013 年最後の四半期にはサイバー犯罪の世界に新たな脅迫の手口が生まれました。それが Cryptolocker です。Cryptolocker は、貴重なデータを失うかもしれないという、ユーザーにとって最大の不安を突くことで広がっています。以前のランサムウェアはオペレーティングシステムをロックしてデータファイルを人質に取るものの、たいていは回復が可能でした。ところが、Cryptolocker は脅迫がもっと効果的になっており、攻撃者が持つ秘密鍵を使わない限り、ロックされたファイルを取り戻すことはできません。

以下の Q&A では、Cryptolocker と、それに対するシマンテックの保護対策についての概略をお伝えします。

Q: Ransomlock と Cryptolocker(別名 Ransomcrypt)の違いは何ですか?

Ransomlock と Cryptolocker の違いは、一般的に Ransomlock がコンピュータ画面をロックするのに対して、Cryptolocker は個々のファイルを暗号化してロックするという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

Q: この脅威が発見されたのはいつですか?

Cryptolocker の被害が初めて確認されたのは、2013 年 9 月です。

Q: Cryptolocker は新しい脅威グループに属するものですか?

いいえ。侵入先のシステムでファイルを暗号化して身代金を要求する類似のマルウェアグループとして、シマンテックはこれまでにも Trojan.Gpcoder(2005 年 5 月)や Trojan.Ransomcrypt(2009 年 6 月)などを検出しています。

Q: Cryptolocker の重大度はどのくらいですか?

重大度は「高」です。万一 Cryptolocker によってファイルを暗号化され、そのファイルをバックアップしていなかった場合には、まず復元することはできません。

Q: Cryptolocker に感染しているかどうかを確認するにはどうすればよいですか?

感染した場合には、次のような身代金要求画面が表示されます。

image1_18.png

図 1. Cryptolocker の身代金要求画面
 

Q: この脅威にはどのように感染しますか?

ソーシャルエンジニアリングの手口を使ったスパムメールを被害者に送りつけ、添付されている zip ファイルを開かせようと試みます。

image2_10.png

図 2. Cryptolocker スパムメールの例
 

電子メールに添付されている zip ファイルを開くと、実行可能ファイルが含まれていますが、これは電子メールの内容に合わせて請求書に見せかけたり、別のソーシャルエンジニアリング手法で偽装されたりしています。この実行可能ファイルは Downloader.Upatre で、Trojan.Zbot をダウンロードします。Trojan.Zbot に感染すると、Downloader.Upatre は感染したシステムにさらに Trojan.Cryptolocker もダウンロードします。次に Trojan.Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続しようとします。アクティブな C&C サーバーが見つかると、感染したシステムでファイルを暗号化する際に使われる公開鍵がダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)はサイバー犯罪者のサーバーに残されたままです。秘密鍵はサイバー犯罪者の手の内に残り、定期的に変更される C&C サーバーにアクセスしない限り使用することはできません。

image3_10.png

図 3. Cryptolocker の攻撃手順
 

Q: シマンテックは Cryptolocker や関連するマルウェアに対する保護対策を提供していますか?

はい。シマンテックは、この脅威に対して以下の検出定義を提供しています。

検出名 検出タイプ
Downloader ウイルス対策シグネチャ
Downloader.Upatre ウイルス対策シグネチャ
Trojan.Zbot ウイルス対策シグネチャ
Trojan.Cryptolocker ウイルス対策シグネチャ
Trojan.Cryptolocker!g1 ヒューリスティック検出
Trojan.Cryptolocker!g2 ヒューリスティック検出
Trojan.Cryptolocker!g3 ヒューリスティック検出
System Infected: Trojan.Cryptolocker 侵入防止シグネチャ

Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。

このマルウェアを検出する以前の検出定義は、一部名前が変更されています。

  • 2013 年 11 月 13 日以前のウイルス定義では、このマルウェアは Trojan.Ransomcrypt.F として検出されていました。
  • 2013 年 11 月 14 日以前の侵入防止シグネチャ(IPS)では、「System Infected: Trojan.Ransomcrypt.F」として検出されていました。

Q: C&C サーバーはどのような形式ですか?

DGA で生成される最近のコマンド & コントロール(C&C)サーバーの例を以下に示します。

  • kstattdnfujtl.info/home/
  • yuwspfhfnjmkxts.biz/home/
  • nqktirfigqfyow.org/home/

Cryptolocker はアクティブな C&C サーバーを検索するときに、見かけの類似したドメイン名を 1 日当たり 1,000 件まで生成できます。

Q: Cryptolocker はどのくらい高度ですか?

Cryptolocker 攻撃は、スパムメールとソーシャルエンジニアリングでお馴染みの手法を用いて感染を試みますが、Cryptolocker 自体も以下のように高度な技術を駆使しています。

  • Cryptolocker は、強力な RSA 2048 を使った公開鍵暗号を採用しています。攻撃者のサーバーに置かれている秘密鍵がないと、被害者は暗号化されたファイルを復号することはできません。
  • Cryptolocker は、メルセンヌツイスタ擬似乱数生成機能に基づいた DGA を採用し、アクティブな C&C サーバーを探します。

Q: この脅威の感染状況はどうですか?

この脅威に対するシマンテックの遠隔測定によると、現在は米国で多く感染が確認されています。報告されている件数は少ないものの、被害者にとって被害は深刻です。

image4_5.png

図 4. 検出が報告された上位 5 カ国
 

Q: これまでにシマンテックはこれらの攻撃に関する情報を公開していますか?

はい。シマンテックは以下のブログを公開しています。

Q: 身代金の支払いに応じるべきですか?

いいえ。けっして身代金を払ってはいけません。サイバー犯罪者への支払いに応じると、さらにマルウェアによる攻撃を助長することになります。また、仮に支払っても、ファイルが復号される保証はありません。

Q: Cryptolocker 攻撃の背後にいるのは誰ですか?

Cryptolocker 攻撃の背後にいるサイバー犯罪者については、調査が進められているところです。

Q: この攻撃の影響を受けたファイルの復元方法についてアドバイスはありますか?

はい。シマンテックテクニカルサポートが以下の記事を公開しています。

Q: 被害を受けないようにするにはどうすればいいですか?

まず、情報セキュリティに関するベストプラクティスに従って、ファイルは常にバックアップしてください。また、最新のウイルス定義対策とソフトウェアパッチを使って、システムを常に最新の状態に保ち、疑わしい迷惑メールは開かないようにしてください。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

Q: シマンテックはバックアップおよびディザスタリカバリソフトウェアを提供していますか?

はい。シマンテックは、Backup Exec ファミリー製品を提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cryptolocker Q&A: Menace of the Year

      No Comments on Cryptolocker Q&A: Menace of the Year

Cybercriminals are constantly looking for ways to evolve their malware. Evolution is the key for survival because antivirus research, analysis, countermeasures, and public awareness thwart the efficacy of malware and its spread. During the past year, Ransomware has received a lot of news coverage which has decreased the number of uninformed victims and lowered the impact and effectiveness of the malware along with the percentage of return to the criminal.

Due to this increased public awareness, in the last quarter of 2014 we have seen cybercriminals reorganize around a new type of extortion: Cryptolocker. This threat is pervasive and preys on a victim’s biggest fear: losing their valuable data. Unlike previous Ransomware that locked operating systems and left data files alone and usually recoverable, Cryptolocker makes extortion of victims more effective because there is no way to retrieve locked files without the attacker’s private key.

The following Q&A outlines Cryptolocker and Symantec’s protection against this malware:

Q: What is the difference between Ransomware and Cryptolocker (also known as Ransomcrypt)?

The difference between Ransomlock and Cryptolocker Trojans is that Ransomlock Trojans generally lock computer screens while Cryptolocker Trojans encrypt and lock individual files. Both threats are motivated by monetary gains that cybercriminals can make from extorting money from victims.

Q: When was this threat discovered?

In September 2013 the Cryptolocker threat began to be seen the wild.

Q: Is the Cryptolocker threat family something new?

No. Symantec detects other similar malware families such as Trojan.Gpcoder (May 2005) and Trojan.Ransomcrypt (June 2009) that encrypt and hold files ransom on compromised systems.

Q: What is the severity of this Cryptolocker threat?

The severity is high. If files are encrypted by Cryptolocker and you do not have a backup of the file, it is likely that the file is lost.

Q: How do I know I have been infected by Cryptolocker?

Once infected, you will be presented on screen with a ransom demand.

image1_18.png

Figure 1. Cryptolocker ransom demand
 

Q: How does a victim get infected?

Victims receive spam email that use social engineering tactics to try and entice opening of the attached zip file.

image2_10.png

Figure 2. Cryptolocker spam email example
 

If victims open the zip file attached to the email, they will find an executable file disguised to look like an invoice report or some other similar social engineering ploy, depending on the email theme. This executable file is Downloader.Upatre that will download Trojan.Zbot. Once infected with Trojan.Zbot, the Downloader.Upatre also downloads Trojan.Cryptolocker onto the compromised system. Trojan.Cryptolocker then reaches out to a command-and-control server (C&C) generated through a built-in domain generation algorithm (DGA). Once an active C&C is found, the threat will download the public key that is used to encrypt the files on the compromised system while the linked private key—required for decrypting the files— remains on the cybercriminal’s server. The private key remains in the cybercriminal control and cannot be used without access to the C&C server which changes regularly.

image3_10.png

Figure 3. Cryptolocker attack steps
 

Q: Does Symantec have protection in place for Cryptolocker and the other associated malware?

Yes. Symantec has the following protection in place for this threat:

Detection name

Detection type

Downloader

Antivirus signature

Downloader.Upatre

Antivirus signature

Trojan.Zbot

Antivirus signature

Trojan.Cryptolocker

Antivirus signature

Trojan.Cryptolocker!g1

Heuristic detection

Trojan.Cryptolocker!g2

Heuristic detection

Trojan.Cryptolocker!g3

Heuristic detection

System Infected: Trojan.Cryptolocker

Intrusion Prevention Signature

Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.

Some earlier Symantec detections that detect this threat have been renamed:

  • Virus definitions dated November 13, 2013, or earlier detected this threat as Trojan.Ransomcrypt.F
  • Intrusion Prevention Signature (IPS) alerts dated November 14, 2013, or earlier were listed as “System Infected: Trojan.Ransomcrypt.F”

Q: What do the C&Cs look like?

The following are recent examples of command-and-control (C&C) servers from the DGA:

  • kstattdnfujtl.info/home/
  • yuwspfhfnjmkxts.biz/home/
  • nqktirfigqfyow.org/home/

Cryptolocker can generate up to one thousand similar looking domain names per day in its search for an active C&C.

Q: How sophisticated is this threat?

While the Cryptolocker campaign uses a common technique of spam email and social engineering in order to infect victims, the threat itself also uses more sophisticated techniques like the following:

  • Cryptolocker employs public-key cryptography using strong RSA 2048 encryption. Once files are encrypted without the private key held on the attacker’s server, the victim will not be able to decrypt the files.
  • Cryptolocker employs a DGA that is based on the Mersenne twister pseudo-random number generator to find active C&Cs.

Q: How prevalent is the threat?

Symantec telemetry for this threat shows that the threat is not very prevalent in the wild at present. While the numbers being reported are low, the severity of the attack is still considerable for victims.

image4_5.png

Figure 4. Top 5 countries reporting detections
 

Q: Has Symantec previously released any publications around these attacks?

Yes, Symantec has released the following blogs:

Q: Should I pay the ransom?

No. You should never pay a ransom. Payment to cybercriminals only encourages more malware campaigns. There is no guarantee that payment will lead to the decryption of your files.

Q: Who is behind the Cryptolocker malware?

Investigations into the cybercriminals behind the Cryptolocker malware are ongoing.

Q: Is there any advice on how to recover files affected by this attack?

Yes, Symantec Technical Support has released the following article:

Q: Any advice on how to not become a victim?

Yes. First, follow information security best practices and always backup your files. Keep your systems up to date with the latest virus definitions and software patches. Refrain from opening any suspicious unsolicited emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

Q: Does Symantec offer backup and disaster recovery software?

Yes. Symantec has the Backup Exec Family of products.

Ransomware shocks its victims by displaying child pornography pictures

In our blog, we wrote several times about various types of Ransomware, most recently about CryptoLocker. In most cases, ransomware has pretended to be a program installed into a victim’s computer by the police. Because of some alleged suspicious activities found on the user’s computer, ransomware blocks the user from using the computer and demands […]

Can avast! protect me against CryptoLocker?

      No Comments on Can avast! protect me against CryptoLocker?

Question of the week: I have read frightening stories about CryptoLocker locking computers. I don’t have $200 to pay blackmailers for my own files. How do I protect myself from getting attacked? Does avast! protect from CryptoLocker?   “Avast! Antivirus detects all known variants of CryptoLocker thanks to our automated processing and CommunityIQ,” said Pavel […]

Cryptolocker ??????: ???????????????????

      No Comments on Cryptolocker ??????: ???????????????????

英国の国家犯罪対策庁(NCA)は先週、大量スパム攻撃によってきわめて多くのユーザーが Cryptolocker マルウェアの標的になっていると警告しました。

この警告によると、英国内で数百万人ものユーザーが悪質な電子メールを受け取っており、その主な標的は中小規模の企業のようです。

Trojan.Cryptolocker については最近のブログでも取り上げており、ランサムウェアに類する脅威の活発な進化の状況を報告しました。Cryptolocker は、侵入先のコンピュータ上のファイルを暗号化し、復号鍵を取引材料として身代金を要求する手口で増加しています。シマンテックは、『インターネットセキュリティ脅威レポート』の最新号で、このようなランサムウェアの急増を予測していました。
 

image1-b.png

図 1. Cryptolocker に誘導されるスパムメールの例
 

このスパム攻撃では、被害者を狙うさまざまなワナが使われています。たとえば、覚えのない番号から発信された音声メッセージや、未払いの請求書などに偽装した電子メールが確認されています。
 

image2_9.png

図 2. Cryptolocker に誘導されるスパムメッセージの別の例
 

悪質な添付ファイル自体はダウンローダであり、それを使って Trojan.Zbot など他の脅威が取得されます。それが最終的に Cryptolocker の感染を引き起こして身代金を要求します。
 

image3_9.png

図 3. 復号鍵に必要な支払いの要求画面
 

NCA の警告によると、2 枚の Bitcoin(2013 年 11 月 18 日時点で 653 ポンドに相当)を要求する Cryptolocker のサンプルが確認されています。シマンテックが解析したサンプルの中には、Bitcoin を 1 枚だけ要求するものもありました。

シマンテックの Email Security.cloud をお使いのお客様は、組み込みの Skeptic™ テクノロジにより、このスパム攻撃から保護されています。また、シマンテックはこれらのサンプルに対して以下のセキュリティシグネチャを用意しています。

検出名 検出定義のタイプ
Downloader ウイルス対策シグネチャ
Trojan.Zbot ウイルス対策シグネチャ
Trojan.Cryptolocker ウイルス対策シグネチャ
Trojan.Cryptolocker!g2 ヒューリスティック検出
Trojan.Cryptolocker!g3 ヒューリスティック検出
System Infected: Trojan.Cryptolocker 侵入防止シグネチャ

シマンテックでは、今後も Cryptolocker マルウェアの最新版に対して保護対策の提供を続けていきますが、お客様の側でも、万一 Cryptolocker に感染した場合に予想される損害を最小限に抑えるための対策として、ファイルを定期的にバックアップすることを強くお勧めします。組み込みツールを使ってファイルを復元する方法については、「Recovering Ransomlocked Files Using Built-In Windows Tools(ランサムウェアでロックされたファイルを Windows の組み込みツールで復元する)」(英語)と題したサポート記事を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cryptolocker Alert: Millions in the UK Targeted in Mass Spam Campaign

Last week, the United Kingdom’s National Crime Agency (NCA) warned that tens of millions of customers were being targeted by the Cryptolocker malware through a mass spam campaign.
According to the alert, millions of UK customers received maliciou…

What to do if your computer is attacked by ransomware

Question of the week:  I just read your blog post about the Reveton virus. My computer was locked and held for ransom by something similar. I finally got it fixed and downloaded avast! 2014. How can I prevent that from happening again? We’re sorry to read that you experienced “ransomware” firsthand.  While this type of […]

Ransomcrypt: ??????

      No Comments on Ransomcrypt: ??????

トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。

最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。

Fig1_4.png

図 1. Trojan.Ransomcrypt.F の支払い要求画面

Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。

Fig2_2.png

図 2. Trojan.Ransomlock.F の感染分布図

初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。

Fig3_2.png

図 3. Ransomcrypt の DNS 要求

シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。

作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。

Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。

Fig4_0.png

図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン

メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。

マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。

Fig5_0.png

図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン

Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ransomcrypt: A Thriving Menace

      No Comments on Ransomcrypt: A Thriving Menace

While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…

Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]