Tag Archives: Ransomware

Win32:Reveton-XY [Trj] saves hundreds of computers worldwide and cybercriminals know it!!!

It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]

Windows ???????????????????????

      No Comments on Windows ???????????????????????

ランサムウェアは全世界で問題になっていますが、中国語で書かれたものはあまり例がありません。最近、シマンテックセキュリティレスポンスは新しいタイプの Ransomlock マルウェアを発見しました。中国から発信されているという点で新しいだけでなく、コンピュータのロックを解除するためにユーザーに支払いを強要するときにも新しい手口が使われています。

このマルウェアは簡易プログラミング言語で書かれており、大部分は中国語インスタントメッセージの大手プロバイダを通じて拡散しています。コンピュータが感染すると、このマルウェアは現在のユーザーのログイン情報を変更し、新しいログイン情報でシステムを再起動します。ログインパスワードは「tan123456789」に書き換えられますが(これは、シマンテックが確保したサンプルにハードコードされていました)、作成者がマルウェアを更新すれば、パスワードも更新される可能性があります。アカウント名は「パスワードを知りたかったら [IM アカウントユーザー ID] にアクセス」という内容の言葉に変更されます。コンピュータを再起動するとユーザーはログインできなくなり、このアカウント名(メッセージ)が表示されて、新しいパスワードを入手するにはこのユーザー ID にアクセスするようにと指示されます。

Figure1_Edit.png

図 1. システムの再起動後にアカウント名が変更されたログイン画面

指定されたユーザー ID にアクセスすると、これはほぼ間違いなくマルウェアの作成者であり、そのプロフィールページにおよそ 20 元(約 320 円)を要求するメッセージが表示されています。メッセージには、送金を受け取りしだいログインパスワードを送信するという内容に加え、マルウェアの作成者を通報したりした場合にはユーザーは遮断されるとも書かれています。

シマンテックは、この脅威を Trojan.Ransomlock.AF として検出します。この脅威にすでに感染してしまった場合には、システムアクセスを回復する方法がいくつかあります。

  1. パスワード「tan123456789」を使ってシステムにログインし、パスワードをリセットする(すでに述べたように、マルウェアの作成者がパスワードを変更する可能性があるため、この方法は必ずしも有効とは限らない)。
  2. 別の管理者アカウントを使ってシステムにログインし、パスワードをリセットする。
  3. 現在のアカウントがスーパー管理者のアカウントでない場合は、セーフモードで起動してスーパー管理者としてログインし、パスワードをリセットする。
  4. Windows リカバリディスクを使ってパスワードをリセットする。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Chinese Ransomlock Malware Changes Windows Login Credentials

Although ransomware has become an international problem, we rarely see Chinese versions. Recently, Symantec Security Response noticed a new type of ransomlock malware that not only originates from China but also uses a new ransom technique to force use…

???????????????????

      No Comments on ???????????????????

ランサムウェアはマルウェアの一種ですが、最近、シマンテックのノートンの公式ロゴを使って、あたかもシマンテックの認定を受けているかのように思い込ませるランサムウェアが出現したと報道されています。これは、マルウェアの作成者がユーザーを欺こうとしてソーシャルエンジニアリングでよく使う手口で、セキュリティ企業のロゴがランサムウェアに悪用されるのも初めてのことではありません。

シマンテックは、このランサムウェアを Trojan.Ransomlock.Q として検出し、IPS 保護定義「System Infected: Trojan.Ransomlock.Q」でもそのネットワーク活動が検出されます。

 

image1_6.png

図 1. ドイツ語ユーザーに表示される Trojan.Ransomlock.Q(ノートンのロゴに注目。画像提供: Heise Online
 

今までと同様、万一ランサムウェアに感染してしまった場合でも、けっして身代金は支払わないでください。かわりに、シマンテックが提供している駆除手順に従うか、削除手順を示したこちらのビデオ(英語)を参照してください。

ランサムウェアの機能と手口は、ここ数年ほとんど変化していません。亜種ごとに新しいデザインは無数に登場していますが、デザイン上の習慣は一定しており、通例は公式の機関や正規のセキュリティ企業に偽装して信憑性を獲得しようとしています。

Trojan.Ransomlock.Q(別名 Urausy)の場合、作成者はこれまでどおり非常に活動的で、標的とする国に応じた政治情勢の変化に合わせて頻繁にデザインを更新します。きわめて巧妙で、最新のニュースにもいち早く対応しています。理由は不明ですが、アイルランド語のバージョンではノートンのロゴが使われていません。

Irish_ransomware_norton.png

図 2. アイルランド語ユーザーに表示される Trojan.Ransomlock.Q
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ransomware Abusing Norton Logo

      No Comments on Ransomware Abusing Norton Logo

There are reports in the media of a particular ransomware, a type of malware, using the official Symantec Norton logo to dupe victims into believing the ransomware is verified by Symantec. This is a common social engineering technique used by malware a…

FakeAV holds Android Phones for Ransom

FakeAV software is a type of scam using malware that intentionally misrepresents the security status of a computer and attempts to convince the user to purchase a full version of the software in order to remediate non-existing infections. Messages continue to pop up on the desktop until the payment is made or until the malware is removed. This type of fraud, which typically targets computers, began several years ago and has now become a household name. The scam has evolved over time and we are now seeing FakeAV threats making their way onto Android devices. One interesting variant we have come across, detected by Symantec as Android.Fakedefender, locks up the device just like Ransomware. Ransomware is another well-known type of malware that takes a computer hostage, by denying the user access to their files for example, until a payment/ransom is handed over.

Figure1_2.png

Figure 1. Screenshot of FakeAV Android app

Once the malicious app has been installed, user experience varies as the app has compatibility issues with various devices. However, many users will not have the capability to uninstall the malicious app as the malware will attempt to prevent other apps from being launched. The threat will also change the settings of the operating system. In some cases users may not even be able to perform a factory data reset on the device and will be forced to do a hard reset which involves performing specific key combinations and/or connecting the device to a computer in order to perform a reset using software provided by the manufacturer. If they are lucky, some users may be able to perform a simple uninstall due to the fact that the app may crash when executed because of compatibility issues.

Please take a look at the following video to see how FakeAV can lock up a device.

 

Default Chromeless Player

<!–
By use of this code snippet, I agree to the Brightcove Publisher T and C
found at https://accounts.brightcove.com/en/terms-and-conditions/.
–><!–
By use of this code snippet, I agree to the Brightcove Publisher T and C
found at https://accounts.brightcove.com/en/terms-and-conditions/.
–>

 

We may soon see FakeAV on the Android platform increase to become a serious issue just like it did on computers. These threats may be difficult to get rid of once installed, so the key to staying protected against them is preventing them from getting on to your device in the first place. We recommend installing a security app, such as Norton Mobile Security or Symantec Mobile Security, on your device. Malicious apps can also be avoided by downloading and installing apps from trusted sources. For general safety tips for smartphones and tablets, please visit our Mobile Security website.

Symantec detects this malware as Android.Fakedefender.

2013 ???????????????????????????????????????????

2013 年版の『インターネットセキュリティ脅威レポート』では、世界 157 の国や地域から 6,900 万件を超える攻撃の検出情報をまとめ、脅威を取り巻く現状を明らかにしています。今回のレポートでは、標的型攻撃や小規模企業に対する攻撃の増加に加えて、新たな脅威も続々と登場していることを報告しています。

標的型攻撃、ハックティビズム、情報漏えい

標的型攻撃は 2012 年に 42 パーセントの増加を示し、1 日当たりの平均攻撃件数も 116 件に達しました。これはデータ窃盗や産業スパイ事例の増加傾向とも一致しています。攻撃の標的にも変化が見られるようで、これらの標的型攻撃のうち、小規模企業が占める比率が 2011 年に比べて大きくなりました。従業員数 250 人未満の企業を標的とする攻撃件数が全標的型攻撃のうち 31 パーセントと、前年の 3 倍に達しています。そうした小規模企業からも貴重なデータを盗み出せること、そして小規模企業の防御が貧弱であることに攻撃者が気付きはじめたのは明らかです。業種別に見ると製造業が最多となり、標的型攻撃の 24 パーセントを占めています。

標的型攻撃のなかでも顕著な変化が、「水飲み場」型攻撃の登場です。狙った標的がアクセスしそうな Web サイトを改ざんし、その Web サイトにアクセスした標的のコンピュータにマルウェアを侵入させるという手口です。この手口を首尾よく広めたのが「Elderwood」という名前で知られるグループで、わずか 1 日で 500 社もの企業が感染被害に遭いました。

情報漏えいの件数は 2012 年になって減少しましたが、盗み出された個人情報の数は逆に増加し、ほぼ 2 億 4,000 万件に達しています。盗み出された個人情報の大多数は医療や教育、政府機関に関連するものでした。また、外部からの攻撃による情報漏えいの報告数が大半を占める一方で、内部に原因のある攻撃のリスクも依然として無視できません。

脆弱性の悪用とツールキット

ゼロデイ脆弱性は 2012 年は 14 件に増加し、脆弱性の総数は 5,291 件に達しました。モバイル環境における脆弱性も増加し、2012 年には 416 件見つかりました。サイバー犯罪者は、これらの脆弱性を悪用して標的のセキュリティを危殆化するので、パッチや更新が定期的に適用されていない場合、特に無防備になります。新しい脆弱性が見つかるペースは鈍化しているにもかかわらず、攻撃が 30 パーセントも増加したのは、IT 部門におけるそうした怠慢が最大の理由でしょう。

技術的なスキルを持ち合わせていなくても、悪用ツールキットを使えば誰でもサイバー犯罪に手を染められるようになりました。過去に見つかった、ブラウザやプラグインの脆弱性を攻撃に利用できるからです。2012 年には、Web ベースの全攻撃のうち実に 41 パーセントを、Blackhole と呼ばれる悪用ツールキットが占めていました。

ソーシャルネットワーク、モバイル、クラウド

ソーシャルネットワークはスパムの新しい発信源です。ソーシャルメディアを利用した攻撃のうち、56 パーセントが偽の広告でした。ソーシャルネットワークサイトでは個人情報が公開されており、しかもリンクやデータが他のユーザーと共有される傾向も高いため、スパム行為がますます容易になっています。そのほか、マルウェアをインストールさせる偽の「いいね」ボタンや、ユーザーを欺いて偽のブラウザ拡張機能をダウンロードさせる手口も横行しています。

モバイル環境における脆弱性も増え、Apple 社の iOS だけでも 387 件が報告されました。一方 Android プラットフォームでは 13 件の脆弱性しか見つかっていませんが、市場シェアが大きいことやオープンプラットフォームであること、そしてアプリケーションの配布手段が複数あることから、モバイルを狙う脅威の大部分が Android デバイスを標的にしていることも事実です(163 件中 158 件、ただし、重複分はカウントせず)。全体で見ると、モバイルマルウェアは 2012 年に 58 パーセントも増加しています。

クラウドコンピューティングを導入する企業も増えており、全体的に見ればコスト削減とともにセキュリティが向上していますが、クラウドもセキュリティ上の問題と無縁ではありません。信頼性の高くないクラウドプロバイダからでさえ、データを引き出すことは簡単ではありませんが、そのようなプロバイダを攻撃すれば膨大な量のデータが手に入ることに攻撃者も気付いています。今後は、クラウドのインフラを支えている仮想マシンも攻撃されるようになると予測されます。

スパム、フィッシング、マルウェア

ソーシャルメディアを利用したスパムが増加し、司法当局がボットネットを取り締まるなかで、従来型のスパムは減少を続け、電子メールの総数に占める比率は 2011 年の 75 パーセントから 2012 年には 69 パーセントにまで下がりました。定番のコンテンツとしては、医薬品関連にかわってアダルト/セックス/出会い系のスパムが主流となり、スパム総数の 55 パーセントを占めています。減少しているとはいえ、日々送信されるスパムメールは依然として 300 億通を数えます。サイバー犯罪者の戦術上の変化は、電子メールによるフィッシングの減少にも表れており、電子メールの総数に対する比率は、2011 年の 299 通当たり 1 通から、414 通当たり 1 通へと減少しています。

マルウェアは、電子メール 291 通当たり 1 通の割合で発見され、そのうち 23 パーセントには、悪質なコードが埋め込まれた Web サイトにリンクする URL が記載されていました。Web ベースの攻撃は、毎日およそ 247,350 件が遮断されており、2011 年と比較して 30 パーセントも増加しています。また 2012 年は、Mac を明確に狙ったマルウェアが初めて大規模に拡散した年でもありました。Java の脆弱性を悪用した Flashback による攻撃では、60 万台以上もの Mac コンピュータが感染しました。Mac 固有の脅威の数は現在、全体に増加傾向にあります。そのほか、コンピュータをロックしたうえでユーザーに身代金の支払いを要求するランサムウェアなどの新しいマルウェア攻撃も登場しています。

脅威を取り巻く最新の現状について詳しくは、『インターネットセキュリティ脅威レポート』の全編(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

2013 ISTR Shows Changing Cybercriminal Tactics

The Symantec Internet Security Threat Report (ISTR) 2013 reveals how the threat landscape is evolving, compiling information from more than 69 million attack sensors in 157 countries around the world. This year’s report shows more targeted attack…

Citadel Malware Continues to Deliver Reveton Ransomware in Attempts to Extort Money

The IC3 has been made aware of a new Citadel malware platform used to deliver ransomware named Reveton. The ransomware lures the victim to a drive-by download website, at which time the ransomware is installed on the user’s computer. Once installed, the computer freezes and a screen is displayed warning… Read more »