A conversation with AVAST women – Part 2

Happy International Women’s Day! This is part 2 of the conversation some of the women of AVAST had together this week. We talked about women in technology, careers, daily challenges, and who inspires us. DEBORAH We’ve been talking about the challenges of working in the male-dominated tech industry (see part 1). Do you have any […]

Blood in the Water: Bitcoin Woes Cause Attackers to Converge

Bitcoin Woes 1.png

Virtual currency Bitcoin has experienced some turbulent times in recent weeks as attackers focused their attention on a newly publicized weakness in Bitcoin’s software in an attempt to siphon off huge sums. The instability has already claimed the scalp of Mt Gox, which was once the world’s largest Bitcoin exchange and thousands of investors have lost their deposits.  The thefts caused the currency’s value to plunge but it has since recovered significantly, indicating that investors still have an appetite despite the risks. Nevertheless, this spate of incidents perfectly illustrates how attackers can swarm around a particular area once a weakness is found and attempt to pick it clean.

The first sign of trouble came on February 7, when Mt Gox announced that it had suspended withdrawals. The exchange, which is based in Japan, said that it was working to fix a bug in Bitcoin’s software and the flow of withdrawals was hindering its progress. At the time, there was no hint that anything else was awry. Nevertheless, the announcement triggered a plunge in Bitcoin’s value. Having traded at above US$800 prior to the incident, the currency fell to approximately $650.

The bug, known as “transaction malleability” makes it possible for attackers to alter transaction details to make it seem like a transfer of funds to a Bitcoin wallet did not occur when in fact it did. Since the transaction appears as if it has not proceeded correctly, the sender could be duped into sending more Bitcoins.

Within days, the problems spread. Two more major Bitcoin exchanges were forced to suspend withdrawals as attackers mounted Distributed Denial of Service (DDoS) attacks against them in a bid to exploit the vulnerability. Bitstamp, which is based in Slovenia and BTC-e, which operates from Bulgaria, were both hit by the attacks, which flooded the exchanges with malformed transactions designed to create confusion across their systems.

While Bitstamp and BTC-e were back trading normally within days, the same could not be said for Mt Gox. The company’s bar on withdrawals remained in place until February 24, when the exchange suddenly went offline. Leaked internal documents suggested that the company had been the victim of a massive theft, in which hundreds of millions of dollars’ worth of the currency had been stolen.

Three days later, Mt Gox filed for bankruptcy, confirming that nearly US $500 million worth of the currency had been stolen from its systems. The company claimed that a bug in Bitcoin’s software had allowed attackers steal approximately 750,000 Bitcoin deposited by customers and 100,000 Bitcoin owned by the company.

Even after its closure, Mt Gox remained a focus for attackers. For example, scammers were quick in circulating an email that claimed the company will be returning Bitcoins stolen from its users. The scam email contained a link to a video that is described as containing news on how people can get their Bitcoin back. When the recipient clicks on the link, they are directed to a website that prompts them to install “Adobe Flash Player” in order to play the video. Clicking on the install button will download a compressed .rar file containing malware. Symantec detects this malware as Trojan.Klovbot.

The phishing campaign is a perfect example of how once a sector falls into the spotlight, attackers can smell blood in the water and will attempt to exploit every conceivable angle before moving on.

Bitcoin Woes 2.png

Figure 1: Bitcoin’s value has recovered somewhat in the aftermath of the attacks. (Source: blockchain.info)

These recent attacks are not the first time Bitcoin has come under pressure. Late last year, a series of virtual bank robberies resulted in millions of dollars’ worth of the currency being stolen. However, the collapse of Mt Gox is one of the most significant security breaches to date. Despite this, investor demand for Bitcoin has remained strong. The currency plunged when news broke of Mt Gox’s suspension, dropping from $800 on February 6 to a low of $528 on February 26. However, since then it has rallied and it is now trading at around $630. Considering that Bitcoin was trading at $42 only a year ago, it is clear that there is still a considerable degree of enthusiasm for the currency despite the attacks. Whether this optimism is warranted remains to be seen.

#avastSelfie Photo Contest

      No Comments on #avastSelfie Photo Contest

Happy International Women’s Day! As we celebrate the 106th annual International Women’s Day on Saturday, March 8th, it is an occasion to thank women everywhere who trust us to protect their devices with avast! Antivirus products. To acknowledge women’s contributions to information technology, we took a closer look this week at women’s role in the IT industry, […]

Google Play: Whats the newest threat on the official Android market?

Official app stores are the primary sources to finding and downloading apps. Experts advise users to stay within the official app stores as they are approved ecosystems, which are widely recognized as safe. But are these sources really trustworthy? Some experts, however, claim that “Android malware is non-existent and security companies just try to scare […]

A conversation with AVAST women – Part 1

AVAST Software is officially a great place to work. One of the reasons it’s so enjoyable here is because of the women we work with. Like most technology companies, AVAST is male-dominated. Our male colleagues are the best at what they do, but since International Women’s Day is on Saturday, March 8, some of the […]

Who owns the Cyber-World?

      No Comments on Who owns the Cyber-World?

Who owns the (cyber) world: GIRLS! Well, maybe not exactly (YET), but the female presence and expertise should not be underestimated! I bet you heard of  The Girl with the Dragon Tattoo. When the movie came out, we published a fun blog post about the main character, Lisbeth Salander, who was a problematic, but brilliant […]

??????Ransomcrypt Trojan ???

      No Comments on ??????Ransomcrypt Trojan ???

Ransomcrypt の作成者は、良心のかけらもないことで知られています。これまでも常に、被害者は脅迫的な要求に支払いで応じ、ファイルを復号してもらうしか選択の余地がありませんでした。しかし、今回出現した Trojan.Ransomcrypt.G では様子が少し違うようです。Trojan.Ransomcrypt.G の作成者が詐欺師であることに違いはありませんが、何らかの行動原理に従っているらしく、身代金を支払わなくても 1 カ月が経過すれば、被害者のファイルを無償で復号すると申し出てきます。このような行動で作成者が無罪放免されるわけではないものの、残念ながらこの詐欺の被害に遭ったユーザーにとっては、一縷の望みと言えるでしょう。

OMG_Fig1.jpg

図 1. Trojan.Ransomcrypt.G によって生成されるランサムウェアファイル「how to get data.txt」の一部

Trojan.Ransomcrypt.G の最初の例は、被害を受けたユーザーから、あるオンラインフォーラムに報告されました。侵入先のシステムでデータファイルを暗号化する、典型的な Ransomcrypt Trojan です。暗号化するファイルの拡張子は、Trojan.Ransomcrypt.G のバイナリファイルに格納されている長大なリストに照合してチェックされます。一般的な種類のデータファイルはほとんど影響を受けますが、完全なリストはこちらを参照してください。暗号化されたファイルには、.OMG! というファイル拡張子が追加されます。たとえば、hello.doc というファイルが Trojan.Ransomcrypt.G によって暗号化されると、hello.doc.OMG! という名前に変わります。

侵入を受けると、暗号化されたファイルと同じディレクトリに「how to get data.txt」というテキストファイルが生成されます。

OMG_Fig2.jpg

図 2. 暗号化されたファイルを含むディレクトリ

このファイルを開くと、暗号化されたファイルとこのテキストファイルを添付して電子メールを攻撃者に送信するようにという指示が書かれています。攻撃者からは、復号された一部のファイルが添付されたメールが返信されてきます。そのメールに、すべてのデータファイルを復号できるロック解除ツールの入手方法が記載されています。

この「how to get data.txt」ファイルの末尾には、通常とは異なる文字列が含まれています。

OMG_Fig3.jpg

図 3. ランサムウェアのファイルに含まれるバイナリ文字列

この文字列が実は、暗号化された暗号鍵と、感染のタイムスタンプ情報のバイナリダンプです。ロック用のこの鍵が、感染したシステムでファイルの暗号化と復号に使われます。鍵は、Windows 標準の暗号化機能を使って、感染したシステム上で動的に生成されます。その鍵を平文で送信するのではなく、Trojan.Ransomcrypt.G のバイナリデータの設定データに含まれる公開暗号鍵(RSA)を使って、ロック用の鍵を暗号化します。攻撃者は対応する秘密鍵を知っているので、それを使ってテキストファイルのバイナリ文字列の解読、ロック用鍵の回復、送られてきた暗号化ファイルの復号を行うことができます。また攻撃者は、暗号化された文字列から感染のタイムスタンプを取り出し、被害者が無償のロック解除ツールを使える期間になったかどうかも判定できます。

Ransomcrypt Trojan では、攻撃者が制御しているサーバーと被害者のシステムとの間のネットワーク通信によって、この種の鍵交換が自動化されているのが普通です。Trojan.Ransomcrypt.G はより単純なアプローチを使っているため、同じ処理を実行する際にユーザーとのやり取りが必要になるのです。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。ファイルは常にバックアップするようにしてください。そうすれば、必要に応じてファイルを復元することが可能です。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のトロイの木馬から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Android ? RAT ???????? Dendroid

      No Comments on Android ? RAT ???????? Dendroid

ダーウィンの進化論を支える原理のひとつは、変化への適応能力が個体の生存率を高めるという説です。マルウェアの作成者も似たようなもので、技術的な環境や市場が変化するなかで生き残るためには、それらに適応していかなければなりません。以前のブログで、Android 版のリモートアクセスツール(RAT)、AndroRAT(Android.Dandro)と、初のマルウェア APK バインダと考えられる機能についてお伝えしました。それ以来、脅威を取り巻く世界では、こうした脅威の模倣と進化が繰り返されています。なかでも、アンダーグラウンドフォーラムで波紋を広げているのが、Dendroid(Android.Dendoroid)と呼ばれる脅威です。Dendroid という名前には、樹木のような形、あるいは枝分かれする構造という意味があります。

Dendroid_Fig1_0.png

図 1. Dendroid の広告バナー

Dendroid は、ユーザーインターフェースやファームウェアインターフェースがわかりやすいとして出回っている HTTP RAT で、洗練された PHP パネルを備え、アプリケーション APK バインダがパッケージされています。Dendroid で使われている APK バインダには、元の AndroRAT APK バインダの作成者との関連性が見られます。

Dendroid_Fig2_0.png

図 2. Dendroid のコントロールパネル

アンダーグラウンドフォーラムの投稿によると、Dendroid の公式な販売者は「Soccer(サッカー)」と呼ばれています。Soccer は、前例のない豊富な機能と、24 時間 365 日のサポート体制を Dendroid の売りとしており、BTC、LTC、BTC-e、またはその他の決済方法による 300 ドル 1 回払いで販売しています。多様な機能の一部を以下に挙げます。

  • 通話記録を削除する
  • 電話番号に電話を掛ける
  • Web ページを開く
  • 通話などの音声を録音する
  • テキストメッセージを傍受する
  • 写真や動画を撮影してアップロードする
  • アプリケーションを開く
  • 一定期間、HTTP フラッド(DoS)攻撃を開始する
  • コマンド & コントロール(C&C)サーバーを変更する

Dendroid_Fig3_0.png

図 3. Dendroid APK バインダ

上述したように、アンダーグラウンドフォーラムの報告によると、このパッケージに含まれる Dendroid APK バインダは、この APK バインダを作成する際に、元の AndroRAT APK バインダの作成者の力を借りていました。

Android プラットフォームで、リモートアクセスツールの進化はいわば必然でした。Dendroid が作成され、この種の脅威がアンダーグラウンドフォーラムで歓迎されていることから、このようなツールを強力に求めるサイバー犯罪者の市場の存在が裏付けられています。PC プラットフォームでも、Zeus(Trojan.Zbot)や SpyEye(Trojan.Spyeye)といったクライムウェアツールキットは、似たような経緯で始まりました。そして、その使い安さから人気が急上昇し、これを使って実行された犯罪の知名度により悪名を馳せるようになったのです。Dendroid はまだ始まったばかりですが、シマンテックはこれを厳重に監視していく予定です。

常に安全を保つために、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。ノートン モバイルセキュリティは、この脅威を Android.Dendoroid として検出します。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

OMG a Ransomcrypt Trojan with a Conscience!

Ransomcrypt authors are not known to have a conscience, and until now have always left their victims with no way out, other than paying the extortion demand to decrypt their files. This seems to have changed somewhat with the arrival of Trojan.Ransomcrypt.G. While the authors of this malware are still total scammers, they seem to have some principles and offer to decrypt the victim’s files for free after a one month period, even  if the ransom has not been paid. While this behavior does not exonerate the actions of the malware authors, it does leave some light at the end of the tunnel for any unfortunate victims of this scam.   

OMG_Fig1.jpg

Figure 1. “how to get data.txt” snippet from ransom file left behind by Trojan.Ransomcrypt.G

Trojan.Ransomcrypt.G was first reported by affected users in an online forum. It is a typical ransomcrypt Trojan that encrypts data files on the infected system. File extensions are checked against a long list stored in the Trojan binary file. Most common data file types are affected and you can see the full list here. Encrypted files are given an extra file extension, .OMG!, by the Trojan. For example, if the Trojan encrypted the file hello.doc, it would rename it hello.doc.OMG!.

Compromised users may notice a text file called “how to get data.txt” in directories containing encrypted files.

OMG_Fig2.jpg

Figure 2. Directory containing compromised files

This file informs the user that they must send an email to the attacker and attach the text file along with  some encrypted files. The attacker will reply with the decrypted files and instructions on how to obtain the unlocker tool that they can use to decrypt all of their data files.

Users may also notice an unusual string of characters at the end of the “how to get data.txt” file.

OMG_Fig3.jpg

Figure 3. Binary string from ransom file

This string is actually a binary dump of an encrypted cryptographic key and infection timestamp information. This locking key is used to encrypt and decrypt files on the infected system. It is dynamically generated on the infected system using standard cryptographic Windows functions. Rather than sending this key in plaintext, the Trojan encrypts the locking key with a public cryptographic key (RSA) that is included in the configuration data in the Trojan binary data. The attacker knows the corresponding private key and so they can use it to decrypt the binary string in the text file, recover the locking key, and decrypt the encrypted files sent to them by the victim. The attacker can also recover the infection timestamp from the decrypted string and determine if the victim is eligible for the free unlocker tool.

Most ransomcrypt Trojans automate this type of key exchange with network communications between the victim’s system and a server controlled by the attacker. Trojan.Ransomcrypt.G uses a more basic approach that requires user interaction to perform the same operation.

Users should never pay any ransom to have their files decrypted. The latest Symantec technologies and Norton consumer and Symantec enterprise solutions protect against these kinds of attacks. You should always backup your files, that way you can restore them if necessary.

Symantec customers are protected from this Trojan with the following detections:

How to reinstall the avast! Endpoint Protection client

Recently we started a new corner in our blog, SMB/Business, to talk about the avast! business product line. We will focus on topics which are come up during our conversations with resellers and their clients. Today we will present a quick guide to answer this question: How can I correctly reinstall the avast! Antivirus client? […]