Question of the week: I have read frightening stories about CryptoLocker locking computers. I don’t have $200 to pay blackmailers for my own files. How do I protect myself from getting attacked? Does avast! protect from CryptoLocker? “Avast! Antivirus detects all known variants of CryptoLocker thanks to our automated processing and CommunityIQ,” said Pavel […]
英国の国家犯罪対策庁(NCA)は先週、大量スパム攻撃によってきわめて多くのユーザーが Cryptolocker マルウェアの標的になっていると警告しました。
この警告によると、英国内で数百万人ものユーザーが悪質な電子メールを受け取っており、その主な標的は中小規模の企業のようです。
Trojan.Cryptolocker については最近のブログでも取り上げており、ランサムウェアに類する脅威の活発な進化の状況を報告しました。Cryptolocker は、侵入先のコンピュータ上のファイルを暗号化し、復号鍵を取引材料として身代金を要求する手口で増加しています。シマンテックは、『インターネットセキュリティ脅威レポート』の最新号で、このようなランサムウェアの急増を予測していました。
図 1. Cryptolocker に誘導されるスパムメールの例
このスパム攻撃では、被害者を狙うさまざまなワナが使われています。たとえば、覚えのない番号から発信された音声メッセージや、未払いの請求書などに偽装した電子メールが確認されています。
図 2. Cryptolocker に誘導されるスパムメッセージの別の例
悪質な添付ファイル自体はダウンローダであり、それを使って Trojan.Zbot など他の脅威が取得されます。それが最終的に Cryptolocker の感染を引き起こして身代金を要求します。
図 3. 復号鍵に必要な支払いの要求画面
NCA の警告によると、2 枚の Bitcoin(2013 年 11 月 18 日時点で 653 ポンドに相当)を要求する Cryptolocker のサンプルが確認されています。シマンテックが解析したサンプルの中には、Bitcoin を 1 枚だけ要求するものもありました。
シマンテックの Email Security.cloud をお使いのお客様は、組み込みの Skeptic™ テクノロジにより、このスパム攻撃から保護されています。また、シマンテックはこれらのサンプルに対して以下のセキュリティシグネチャを用意しています。
| 検出名 | 検出定義のタイプ |
| Downloader | ウイルス対策シグネチャ |
| Trojan.Zbot | ウイルス対策シグネチャ |
| Trojan.Cryptolocker | ウイルス対策シグネチャ |
| Trojan.Cryptolocker!g2 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g3 | ヒューリスティック検出 |
| System Infected: Trojan.Cryptolocker | 侵入防止シグネチャ |
シマンテックでは、今後も Cryptolocker マルウェアの最新版に対して保護対策の提供を続けていきますが、お客様の側でも、万一 Cryptolocker に感染した場合に予想される損害を最小限に抑えるための対策として、ファイルを定期的にバックアップすることを強くお勧めします。組み込みツールを使ってファイルを復元する方法については、「Recovering Ransomlocked Files Using Built-In Windows Tools(ランサムウェアでロックされたファイルを Windows の組み込みツールで復元する)」(英語)と題したサポート記事を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Last week, the United Kingdom’s National Crime Agency (NCA) warned that tens of millions of customers were being targeted by the Cryptolocker malware through a mass spam campaign.
According to the alert, millions of UK customers received maliciou…
Question of the week: I just read your blog post about the Reveton virus. My computer was locked and held for ransom by something similar. I finally got it fixed and downloaded avast! 2014. How can I prevent that from happening again? We’re sorry to read that you experienced “ransomware” firsthand. While this type of […]
トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。
図 1. Trojan.Ransomcrypt.F の支払い要求画面
Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。
図 2. Trojan.Ransomlock.F の感染分布図
初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。
図 3. Ransomcrypt の DNS 要求
シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。
作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。
Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。
図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン
メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。
マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。
図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン
Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。
ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…
It has been more than a year, since we last time reported about Reveton lock screen family. The group behind this ransomware is still very active and supplies regularly new versions of their ransomware. Recently we obtained a heavily obfuscated sample. As in most other cases we started with the examination of the obfuscated sample. […]
ランサムウェアは全世界で問題になっていますが、中国語で書かれたものはあまり例がありません。最近、シマンテックセキュリティレスポンスは新しいタイプの Ransomlock マルウェアを発見しました。中国から発信されているという点で新しいだけでなく、コンピュータのロックを解除するためにユーザーに支払いを強要するときにも新しい手口が使われています。
このマルウェアは簡易プログラミング言語で書かれており、大部分は中国語インスタントメッセージの大手プロバイダを通じて拡散しています。コンピュータが感染すると、このマルウェアは現在のユーザーのログイン情報を変更し、新しいログイン情報でシステムを再起動します。ログインパスワードは「tan123456789」に書き換えられますが(これは、シマンテックが確保したサンプルにハードコードされていました)、作成者がマルウェアを更新すれば、パスワードも更新される可能性があります。アカウント名は「パスワードを知りたかったら [IM アカウントユーザー ID] にアクセス」という内容の言葉に変更されます。コンピュータを再起動するとユーザーはログインできなくなり、このアカウント名(メッセージ)が表示されて、新しいパスワードを入手するにはこのユーザー ID にアクセスするようにと指示されます。
図 1. システムの再起動後にアカウント名が変更されたログイン画面
指定されたユーザー ID にアクセスすると、これはほぼ間違いなくマルウェアの作成者であり、そのプロフィールページにおよそ 20 元(約 320 円)を要求するメッセージが表示されています。メッセージには、送金を受け取りしだいログインパスワードを送信するという内容に加え、マルウェアの作成者を通報したりした場合にはユーザーは遮断されるとも書かれています。
シマンテックは、この脅威を Trojan.Ransomlock.AF として検出します。この脅威にすでに感染してしまった場合には、システムアクセスを回復する方法がいくつかあります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Although ransomware has become an international problem, we rarely see Chinese versions. Recently, Symantec Security Response noticed a new type of ransomlock malware that not only originates from China but also uses a new ransom technique to force use…
ランサムウェアはマルウェアの一種ですが、最近、シマンテックのノートンの公式ロゴを使って、あたかもシマンテックの認定を受けているかのように思い込ませるランサムウェアが出現したと報道されています。これは、マルウェアの作成者がユーザーを欺こうとしてソーシャルエンジニアリングでよく使う手口で、セキュリティ企業のロゴがランサムウェアに悪用されるのも初めてのことではありません。
シマンテックは、このランサムウェアを Trojan.Ransomlock.Q として検出し、IPS 保護定義「System Infected: Trojan.Ransomlock.Q」でもそのネットワーク活動が検出されます。
図 1. ドイツ語ユーザーに表示される Trojan.Ransomlock.Q(ノートンのロゴに注目。画像提供: Heise Online)
今までと同様、万一ランサムウェアに感染してしまった場合でも、けっして身代金は支払わないでください。かわりに、シマンテックが提供している駆除手順に従うか、削除手順を示したこちらのビデオ(英語)を参照してください。
ランサムウェアの機能と手口は、ここ数年ほとんど変化していません。亜種ごとに新しいデザインは無数に登場していますが、デザイン上の習慣は一定しており、通例は公式の機関や正規のセキュリティ企業に偽装して信憑性を獲得しようとしています。
Trojan.Ransomlock.Q(別名 Urausy)の場合、作成者はこれまでどおり非常に活動的で、標的とする国に応じた政治情勢の変化に合わせて頻繁にデザインを更新します。きわめて巧妙で、最新のニュースにもいち早く対応しています。理由は不明ですが、アイルランド語のバージョンではノートンのロゴが使われていません。
図 2. アイルランド語ユーザーに表示される Trojan.Ransomlock.Q
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。