Proof-of-concept threat is reminder OS X is not immune to crypto ransomware
Symantec analysis confirms that in the wrong hands, Mabouia ransomware could be used to attack Macs.Read More
Symantec analysis confirms that in the wrong hands, Mabouia ransomware could be used to attack Macs.Read More
Cryptolocker(Trojan.Cryptolocker)が成功を収めたその裏で、マルウェアの作成者は新しい Ransomcrypt Trojan タイプのマルウェアの開発に精力を傾けていました。高機能化が進んだ CryptoDefense(Trojan.Cryptodefense)も、そうしたマルウェアのひとつです。CryptoDefense が出現したのは 2014 年 2 月のことですが、シマンテックの遠隔測定によると、それ以降、シマンテック製品は CryptoDefense への感染を 11,000 件以上(重複を除く)も遮断しています。CryptoDefense の作成者が身代金の受け渡し用として用意していた Bitcoin アドレスを使い、公開されている Bitcoin ブロックチェーン情報を参照して試算したところ、このマルウェアによってサイバー犯罪者は、たった 1 カ月で 34,000 ドルを稼いだと推測できます(執筆時点の Bitcoin 相場による)。
模倣
「Imitation is not just the sincerest form of flattery – it’s the sincerest form of learning(模倣は最も誠実な形のお世辞であるのみならず、最も誠実な形の学習である」 – ジョージ・バーナード・ショー
CryptoDefense は基本的に、これまでの Ransomcrypt Trojan の作成者たちが被害者から金銭を脅し取ろうとして使ってきた数々の効果的な手法を取り込んだハイブリッド設計で、高度な機能を備えています。使われている手法としては、Tor や Bitcoin によって匿名性を狙う、強力な RSA 2048 暗号化を使う公開鍵暗号によって確実にファイルを人質に取るなどのほか、指定した短い期限のうちに支払いがない場合には身代金が釣り上がると称して脅しをかける圧力戦術もあります。ただし、CryptoDefense の作成者は暗号機能の実装スキルに乏しく、人質に取ったコンピュータに、独自に解決するための手掛かりを残しています。
感染
シマンテックが確認したところ、CrytoDefense は図 1 に示すような電子メールを使って拡散しています。
図 1. 悪質なスパムメールの例
ネットワーク通信
最初に実行されると、CryptoDefense は以下のいずれかのリモートサイトとの通信を試みます。
最初の通信には、侵入先のコンピュータのプロファイルが含まれています。リモートサイトからの返信を受け取ると、次に暗号化を開始し、秘密鍵をサーバーに返送します。リモートサーバーで秘密の復号鍵の受信が確認されると、侵入先のコンピュータのデスクトップのスクリーンショットがリモートサイトにアップロードされます。
身代金の要求
ファイルの暗号化が終わると CryptoDefense は、暗号化されたファイルが格納されているフォルダごとに、身代金要求のための以下のファイルを作成します。
図 2. HOW_DECRYPT.HTML ファイルの例
図 2 を見るとわかるように、CryptoDefense の作成者は要求した身代金の受け渡しに Tor ネットワークを使っています。被害者が Tor ネットワークのことを知らない場合のために、Tor 対応ブラウザをダウンロードして支払い用 Web ページのアドレスを入力するまでの手順も、わざわざ用意されています。Tor ネットワークを使うと、Web サイトの場所を隠して匿名性を保つことができるため、Web サーバーが停止措置を受けにくくなります。Cryptorbit(Trojan.Nymaim.B)などの同類の脅威でも、過去に同じ手口が使われていました。
身代金の受け渡し
身代金要求の中で指定されていた個人専用ページを Tor 対応ブラウザで開くと、CAPTCHA ページが表示されます。
図 3. 被害者に表示される CAPTCHA の例
CAPTCHA に正しい文字列を入力すると、次に身代金の決済ページが開きます。
図 4. CryptoDefense の身代金決済ページ
ここで注意しなければならないのは、要求されている 500 ドル/ユーロという金額を 4 日以内に支払わないと、身代金が倍になるという点です。このように期限を設けて急かせる手口を使われると、被害者は損失の可能性を評価する際のコストについてあまり疑問視しなくなるという傾向があります。決済ページには[My screen]というボタンが用意されていますが、これは侵入先のコンピュータでデスクトップのスクリーンショットを取得してアップロードすることで、ユーザーのシステムに侵入した証拠を見せるためです。さらには、[Test decrypt]ボタンを使えば被害者が 1 ファイルだけ復号できるようにしておき、実際に復号が可能であるという証拠も見せています。そのうえ、身代金を支払うために Bitcoin を取得する方法まで教えてくれるという周到さです。
暗号化
CryptoDefense は強力な RSA 2048 暗号を使った公開鍵暗号を採用しています。つまり、いったんファイルが暗号化されてしまうと、秘密鍵がないかぎり被害者がファイルを復号することはできません。Cryptolocker の場合、秘密鍵は攻撃者が管理しているサーバーでしか見つからなかったため、暗号化/復号の鍵は完全に攻撃者の管理下にありました。一方、CryptoDefense での暗号化の実装方法を調べたところ、攻撃者は重要な情報を見落としていることがわかりました。秘密鍵のありかが保存されていたのです。
作成者自身が身代金要求の中で謳っているように、ファイルは被害者のコンピュータ上で生成された RSA-2048 鍵で暗号化されています。そのために、Microsoft 独自の暗号インフラと Windows API を使って、攻撃者のサーバーに平文で返信する前に鍵の生成が実行されます。ところが、この方法を使うということは、攻撃者が人質として確保しているはずの復号鍵が、実際には攻撃者のサーバーへの転送後にも感染したコンピュータにまだ残っているということになります。
Microsoft の暗号インフラを使うと、秘密鍵は次の場所に格納されます。
%UserProfile%\Application Data\Microsoft\Crypto\RSA
作成者が暗号機能の実装スキルに乏しいため、手掛かりどころか、文字どおり逃げ出すための「鍵」を人質に残してしまっているということです。Microsoft の暗号インフラで鍵を格納するアーキテクチャについて詳しくは、こちらを参照してください。
攻撃者の獲得額
シマンテックは、CryptoDefense の身代金要求で以下の Bitcoin アドレスが使われていることを確認しています。
これらのアドレスで初めて Bitcoin 取引が行われたのは、2014 年 2 月 28 日です。これは、シマンテックが CryptoDefense のサンプルを初めて検出した日付と一致しています。このとき 2 つの Bitcoin アドレスで受け取られた取引の数に基づいて試算すると、CryptoDefense の実行犯はわずか 1 カ月で 34,000 ドルを稼いだことになります。
拡散状況
シマンテックの遠隔測定によると、CryptoDefense の感染が遮断された件数は、100 カ国以上、11,000 件(重複を除く)にものぼります。この検出数の大半は米国に集中しており、英国、カナダ、オーストラリア、日本、インド、イタリア、オランダと続きます。
図 5. CryptoDefense の検出分布
保護対策
関係はないものの、CrytoDefense と Cryptolocker の間には類似点があったため、シマンテックは当初、今回の脅威を他の検出結果とともに Trojan.Cryptolocker として検出していました。現在は、CryptoDefense を以下の定義名で検出しています。
ウイルス対策定義
ヒューリスティック検出定義
評価ベースの検出定義
侵入防止シグネチャ
シマンテックの Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。
最善の保護対策のために、コンシューマ向けまたはエンタープライズ向けに提供されているシマンテックの最新技術をお使いいただくことをお勧めします。この種の脅威からさらに保護するために、基本的なセキュリティ対策(ベストプラクティス)に従ったうえで、シマンテックの Backup Exec ファミリーなどの製品を使って常にファイルをバックアップすることをお勧めします。また、最新のウイルス定義対策とパッチを使って、システムを常に最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
On the back of Cryptolocker’s (Trojan.Cryptolocker) perceived success, malware authors have been turning their attention to writing new ransomcrypt malware. The sophisticated CryptoDefense (Trojan.Cryptodefense) is one such malware. CryptoDefense appeared in late February 2014 and since that time Symantec telemetry shows that we have blocked over 11,000 unique CryptoDefense infections. Using the Bitcoin addresses provided by the malware authors for payment of the ransom and looking at the publicly available Bitcoin blockchain information, we can estimate that this malware earned cybercriminals over $34,000 in one month alone (according to Bitcoin value at time of writing).
Imitation
“Imitation is not just the sincerest form of flattery – it’s the sincerest form of learning” – George Bernard Shaw.
CryptoDefense, in essence, is a sophisticated hybrid design incorporating a number of effective techniques previously used by other ransomcrypt malware authors to extort money from victims. These techniques include the use of Tor and Bitcoins for anonymity, public-key cryptography using strong RSA 2048 encryption in order to ensure files are held to ransom, and the use of pressure tactics such as threats of increased costs if the ransom is not paid within a short period of time. However, the malware author’s poor implementation of the cryptographic functionality has left their hostages with the key to their own escape.
Infection
Symantec has observed CrytoDefense being spammed out using emails such as the one shown in Figure 1.
Figure 1. Malicious spam email example
Network communications
When first executed, CryptoDefense attempts to communicate with one of the following remote locations:
The initial communication contains a profile of the infected computer. Once a reply is received from the remote location, the threat then initiates encryption and transmits the private key back to the server. Once the remote server confirms the receipt of the private decryption key, a screenshot of the compromised desktop is uploaded to the remote location.
Ransom demand
Once the files are encrypted, CryptoDefense creates the following ransom demand files in every folder that contains encrypted files:
Figure 2. Example of HOW_DECRYPT.HTML file
As can be seen in Figure 2, the malware authors are using the Tor network for payment of the ransom demand. If victims are not familiar with what the Tor network is, they even go as far as providing instructions on how to download a Tor-ready browser and enter the unique Tor payment Web page address. The use of the Tor network conceals the website’s location and provides anonymity and resistance to take down efforts. Other similar threats, such as Cryptorbit (Trojan.Nymaim.B), have used this tactic in the past.
Payment
Once the user opens their unique personal page provided in the ransom demand using the Tor Browser, they will be presented with a CAPTCHA page.
Figure 3. Example of CAPTCHA shown to victim
Once they have filled in the CAPTCHA correctly, the user will be presented with the ransom payment page.
Figure 4. CryptoDefense ransom payment page
Of note here is the ransom demand of 500 USD/EUR to be paid within four days or the ransom doubles in price. The use of time pressure tactics by the cybercriminals makes victims less likely to question the costs involved when evaluating potential losses. The cybercriminals offer proof through a “My screen” button, included on the payment page, that they have compromised the user’s system by showing the uploaded screenshot of the compromised desktop. They also offer further proof that decryption is feasible by allowing the victim to decrypt one file through the “Test decrypt” button. They then proceed to educate their victim on how to get hold of Bitcoins to pay the ransom.
Encryption
CryptoDefense employs public-key cryptography using strong RSA 2048 encryption. This means that once the files have been encrypted, without access to the private key, victims will not be able to decrypt the files. With Cryptolocker, the private key was only ever found on servers controlled by the attacker, meaning the attackers always maintained control over the encryption/decryption keys. On investigating how CryptoDefense implemented its encryption, we observed that the attackers had overlooked one important detail: where the private key was stored.
As advertised by the malware authors in the ransom demand, the files were encrypted with an RSA-2048 key generated on the victim’s computer. This was done using Microsoft’s own cryptographic infrastructure and Windows APIs to perform the key generation before sending it back in plain text to the attacker’s server. However, using this method means that the decryption key the attackers are holding for ransom, actually still remains on the infected computer after transmission to the attackers server.
When using Microsoft’s cryptographis infrastructure, private keys are stored in the following location:
%UserProfile%\Application Data\Microsoft\Crypto\RSA
Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape. Further details of Microsoft’s key storage architecture can be found here.
Earnings
Symantec is aware of the following Bitcoin addresses being used in CryptoDefense ransom demands:
The first known Bitcoin transaction for these addresses was on February 28, 2014. This corresponds with the first detection of a CryptoDefense sample by Symantec. At this time, based on the number of received transactions for both Bitcoin addresses, Symantec can estimate that the cybercriminals behind CryptoDefense have earned over $36,000 in just one month.
Prevalence
Symantec telemetry shows that we have blocked over 11,000 unique CryptoDefense infections in over 100 countries. The United States makes up the majority of these detections followed by the United Kingdom, Canada, Australia, Japan, India, Italy, and the Netherlands.
Figure 5. Heatmap for CryptoDefense detections
Protection
Although not related, such were the similarities seen between CrytoDefense and Cryptolocker that Symantec initially detected this threat as Trojan.Cryptolocker along with numerous other detections. Symantec detects CryptoDefense under the following detection names:
Antivirus detections
Heuristic detections
Reputation detections
Intrusion prevention signatures
Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.
For the best possible protection, Symantec customers should ensure that they are using the latest Symantec technologies incorporated into our consumer and enterprise solutions. To further protect against threats of this nature, it is recommended that you follow security best practices and always backup your files using a product such as Symantec’s Backup Exec Family. Finally, always keep your systems up to date with the latest virus definitions and patches.
Ransomcrypt の作成者は、良心のかけらもないことで知られています。これまでも常に、被害者は脅迫的な要求に支払いで応じ、ファイルを復号してもらうしか選択の余地がありませんでした。しかし、今回出現した Trojan.Ransomcrypt.G では様子が少し違うようです。Trojan.Ransomcrypt.G の作成者が詐欺師であることに違いはありませんが、何らかの行動原理に従っているらしく、身代金を支払わなくても 1 カ月が経過すれば、被害者のファイルを無償で復号すると申し出てきます。このような行動で作成者が無罪放免されるわけではないものの、残念ながらこの詐欺の被害に遭ったユーザーにとっては、一縷の望みと言えるでしょう。
図 1. Trojan.Ransomcrypt.G によって生成されるランサムウェアファイル「how to get data.txt」の一部
Trojan.Ransomcrypt.G の最初の例は、被害を受けたユーザーから、あるオンラインフォーラムに報告されました。侵入先のシステムでデータファイルを暗号化する、典型的な Ransomcrypt Trojan です。暗号化するファイルの拡張子は、Trojan.Ransomcrypt.G のバイナリファイルに格納されている長大なリストに照合してチェックされます。一般的な種類のデータファイルはほとんど影響を受けますが、完全なリストはこちらを参照してください。暗号化されたファイルには、.OMG! というファイル拡張子が追加されます。たとえば、hello.doc というファイルが Trojan.Ransomcrypt.G によって暗号化されると、hello.doc.OMG! という名前に変わります。
侵入を受けると、暗号化されたファイルと同じディレクトリに「how to get data.txt」というテキストファイルが生成されます。
図 2. 暗号化されたファイルを含むディレクトリ
このファイルを開くと、暗号化されたファイルとこのテキストファイルを添付して電子メールを攻撃者に送信するようにという指示が書かれています。攻撃者からは、復号された一部のファイルが添付されたメールが返信されてきます。そのメールに、すべてのデータファイルを復号できるロック解除ツールの入手方法が記載されています。
この「how to get data.txt」ファイルの末尾には、通常とは異なる文字列が含まれています。
図 3. ランサムウェアのファイルに含まれるバイナリ文字列
この文字列が実は、暗号化された暗号鍵と、感染のタイムスタンプ情報のバイナリダンプです。ロック用のこの鍵が、感染したシステムでファイルの暗号化と復号に使われます。鍵は、Windows 標準の暗号化機能を使って、感染したシステム上で動的に生成されます。その鍵を平文で送信するのではなく、Trojan.Ransomcrypt.G のバイナリデータの設定データに含まれる公開暗号鍵(RSA)を使って、ロック用の鍵を暗号化します。攻撃者は対応する秘密鍵を知っているので、それを使ってテキストファイルのバイナリ文字列の解読、ロック用鍵の回復、送られてきた暗号化ファイルの復号を行うことができます。また攻撃者は、暗号化された文字列から感染のタイムスタンプを取り出し、被害者が無償のロック解除ツールを使える期間になったかどうかも判定できます。
Ransomcrypt Trojan では、攻撃者が制御しているサーバーと被害者のシステムとの間のネットワーク通信によって、この種の鍵交換が自動化されているのが普通です。Trojan.Ransomcrypt.G はより単純なアプローチを使っているため、同じ処理を実行する際にユーザーとのやり取りが必要になるのです。
ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。ファイルは常にバックアップするようにしてください。そうすれば、必要に応じてファイルを復元することが可能です。
シマンテック製品をお使いのお客様は、以下の検出定義によって今回のトロイの木馬から保護されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Ransomcrypt authors are not known to have a conscience, and until now have always left their victims with no way out, other than paying the extortion demand to decrypt their files. This seems to have changed somewhat with the arrival of Trojan.Ransomcrypt.G. While the authors of this malware are still total scammers, they seem to have some principles and offer to decrypt the victim’s files for free after a one month period, even if the ransom has not been paid. While this behavior does not exonerate the actions of the malware authors, it does leave some light at the end of the tunnel for any unfortunate victims of this scam.
Figure 1. “how to get data.txt” snippet from ransom file left behind by Trojan.Ransomcrypt.G
Trojan.Ransomcrypt.G was first reported by affected users in an online forum. It is a typical ransomcrypt Trojan that encrypts data files on the infected system. File extensions are checked against a long list stored in the Trojan binary file. Most common data file types are affected and you can see the full list here. Encrypted files are given an extra file extension, .OMG!, by the Trojan. For example, if the Trojan encrypted the file hello.doc, it would rename it hello.doc.OMG!.
Compromised users may notice a text file called “how to get data.txt” in directories containing encrypted files.
Figure 2. Directory containing compromised files
This file informs the user that they must send an email to the attacker and attach the text file along with some encrypted files. The attacker will reply with the decrypted files and instructions on how to obtain the unlocker tool that they can use to decrypt all of their data files.
Users may also notice an unusual string of characters at the end of the “how to get data.txt” file.
Figure 3. Binary string from ransom file
This string is actually a binary dump of an encrypted cryptographic key and infection timestamp information. This locking key is used to encrypt and decrypt files on the infected system. It is dynamically generated on the infected system using standard cryptographic Windows functions. Rather than sending this key in plaintext, the Trojan encrypts the locking key with a public cryptographic key (RSA) that is included in the configuration data in the Trojan binary data. The attacker knows the corresponding private key and so they can use it to decrypt the binary string in the text file, recover the locking key, and decrypt the encrypted files sent to them by the victim. The attacker can also recover the infection timestamp from the decrypted string and determine if the victim is eligible for the free unlocker tool.
Most ransomcrypt Trojans automate this type of key exchange with network communications between the victim’s system and a server controlled by the attacker. Trojan.Ransomcrypt.G uses a more basic approach that requires user interaction to perform the same operation.
Users should never pay any ransom to have their files decrypted. The latest Symantec technologies and Norton consumer and Symantec enterprise solutions protect against these kinds of attacks. You should always backup your files, that way you can restore them if necessary.
Symantec customers are protected from this Trojan with the following detections:
サイバー犯罪者はいつでも、マルウェアを進化させる方法を探っています。ウイルス対策をめぐる研究や解析、対策が進み、ユーザー意識が向上したためマルウェアの威力が薄れ、拡散も鈍っていることから、進化が生存の鍵となっているからです。ランサムウェアは、この数年間でメディアに大きく取り上げられた結果、知らぬ間に犠牲になるユーザーが減り、その影響力や効果も半減するとともに、犯罪者にとって費用対効果も下がってきました。
このようにユーザー意識が高まった結果、2013 年最後の四半期にはサイバー犯罪の世界に新たな脅迫の手口が生まれました。それが Cryptolocker です。Cryptolocker は、貴重なデータを失うかもしれないという、ユーザーにとって最大の不安を突くことで広がっています。以前のランサムウェアはオペレーティングシステムをロックしてデータファイルを人質に取るものの、たいていは回復が可能でした。ところが、Cryptolocker は脅迫がもっと効果的になっており、攻撃者が持つ秘密鍵を使わない限り、ロックされたファイルを取り戻すことはできません。
以下の Q&A では、Cryptolocker と、それに対するシマンテックの保護対策についての概略をお伝えします。
Q: Ransomlock と Cryptolocker(別名 Ransomcrypt)の違いは何ですか?
Ransomlock と Cryptolocker の違いは、一般的に Ransomlock がコンピュータ画面をロックするのに対して、Cryptolocker は個々のファイルを暗号化してロックするという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
Q: この脅威が発見されたのはいつですか?
Cryptolocker の被害が初めて確認されたのは、2013 年 9 月です。
Q: Cryptolocker は新しい脅威グループに属するものですか?
いいえ。侵入先のシステムでファイルを暗号化して身代金を要求する類似のマルウェアグループとして、シマンテックはこれまでにも Trojan.Gpcoder(2005 年 5 月)や Trojan.Ransomcrypt(2009 年 6 月)などを検出しています。
Q: Cryptolocker の重大度はどのくらいですか?
重大度は「高」です。万一 Cryptolocker によってファイルを暗号化され、そのファイルをバックアップしていなかった場合には、まず復元することはできません。
Q: Cryptolocker に感染しているかどうかを確認するにはどうすればよいですか?
感染した場合には、次のような身代金要求画面が表示されます。
図 1. Cryptolocker の身代金要求画面
Q: この脅威にはどのように感染しますか?
ソーシャルエンジニアリングの手口を使ったスパムメールを被害者に送りつけ、添付されている zip ファイルを開かせようと試みます。
図 2. Cryptolocker スパムメールの例
電子メールに添付されている zip ファイルを開くと、実行可能ファイルが含まれていますが、これは電子メールの内容に合わせて請求書に見せかけたり、別のソーシャルエンジニアリング手法で偽装されたりしています。この実行可能ファイルは Downloader.Upatre で、Trojan.Zbot をダウンロードします。Trojan.Zbot に感染すると、Downloader.Upatre は感染したシステムにさらに Trojan.Cryptolocker もダウンロードします。次に Trojan.Cryptolocker は、組み込みのドメイン生成アルゴリズム(DGA)を利用してコマンド & コントロール(C&C)サーバーに接続しようとします。アクティブな C&C サーバーが見つかると、感染したシステムでファイルを暗号化する際に使われる公開鍵がダウンロードされますが、それに対応する秘密鍵(ファイルの復号に必要です)はサイバー犯罪者のサーバーに残されたままです。秘密鍵はサイバー犯罪者の手の内に残り、定期的に変更される C&C サーバーにアクセスしない限り使用することはできません。
図 3. Cryptolocker の攻撃手順
Q: シマンテックは Cryptolocker や関連するマルウェアに対する保護対策を提供していますか?
はい。シマンテックは、この脅威に対して以下の検出定義を提供しています。
検出名 | 検出タイプ |
Downloader | ウイルス対策シグネチャ |
Downloader.Upatre | ウイルス対策シグネチャ |
Trojan.Zbot | ウイルス対策シグネチャ |
Trojan.Cryptolocker | ウイルス対策シグネチャ |
Trojan.Cryptolocker!g1 | ヒューリスティック検出 |
Trojan.Cryptolocker!g2 | ヒューリスティック検出 |
Trojan.Cryptolocker!g3 | ヒューリスティック検出 |
System Infected: Trojan.Cryptolocker | 侵入防止シグネチャ |
Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。
このマルウェアを検出する以前の検出定義は、一部名前が変更されています。
Q: C&C サーバーはどのような形式ですか?
DGA で生成される最近のコマンド & コントロール(C&C)サーバーの例を以下に示します。
Cryptolocker はアクティブな C&C サーバーを検索するときに、見かけの類似したドメイン名を 1 日当たり 1,000 件まで生成できます。
Q: Cryptolocker はどのくらい高度ですか?
Cryptolocker 攻撃は、スパムメールとソーシャルエンジニアリングでお馴染みの手法を用いて感染を試みますが、Cryptolocker 自体も以下のように高度な技術を駆使しています。
Q: この脅威の感染状況はどうですか?
この脅威に対するシマンテックの遠隔測定によると、現在は米国で多く感染が確認されています。報告されている件数は少ないものの、被害者にとって被害は深刻です。
図 4. 検出が報告された上位 5 カ国
Q: これまでにシマンテックはこれらの攻撃に関する情報を公開していますか?
はい。シマンテックは以下のブログを公開しています。
Q: 身代金の支払いに応じるべきですか?
いいえ。けっして身代金を払ってはいけません。サイバー犯罪者への支払いに応じると、さらにマルウェアによる攻撃を助長することになります。また、仮に支払っても、ファイルが復号される保証はありません。
Q: Cryptolocker 攻撃の背後にいるのは誰ですか?
Cryptolocker 攻撃の背後にいるサイバー犯罪者については、調査が進められているところです。
Q: この攻撃の影響を受けたファイルの復元方法についてアドバイスはありますか?
はい。シマンテックテクニカルサポートが以下の記事を公開しています。
Q: 被害を受けないようにするにはどうすればいいですか?
まず、情報セキュリティに関するベストプラクティスに従って、ファイルは常にバックアップしてください。また、最新のウイルス定義対策とソフトウェアパッチを使って、システムを常に最新の状態に保ち、疑わしい迷惑メールは開かないようにしてください。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
Q: シマンテックはバックアップおよびディザスタリカバリソフトウェアを提供していますか?
はい。シマンテックは、Backup Exec ファミリー製品を提供しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Cybercriminals are constantly looking for ways to evolve their malware. Evolution is the key for survival because antivirus research, analysis, countermeasures, and public awareness thwart the efficacy of malware and its spread. During the past year, Ransomware has received a lot of news coverage which has decreased the number of uninformed victims and lowered the impact and effectiveness of the malware along with the percentage of return to the criminal.
Due to this increased public awareness, in the last quarter of 2014 we have seen cybercriminals reorganize around a new type of extortion: Cryptolocker. This threat is pervasive and preys on a victim’s biggest fear: losing their valuable data. Unlike previous Ransomware that locked operating systems and left data files alone and usually recoverable, Cryptolocker makes extortion of victims more effective because there is no way to retrieve locked files without the attacker’s private key.
The following Q&A outlines Cryptolocker and Symantec’s protection against this malware:
Q: What is the difference between Ransomware and Cryptolocker (also known as Ransomcrypt)?
The difference between Ransomlock and Cryptolocker Trojans is that Ransomlock Trojans generally lock computer screens while Cryptolocker Trojans encrypt and lock individual files. Both threats are motivated by monetary gains that cybercriminals can make from extorting money from victims.
Q: When was this threat discovered?
In September 2013 the Cryptolocker threat began to be seen the wild.
Q: Is the Cryptolocker threat family something new?
No. Symantec detects other similar malware families such as Trojan.Gpcoder (May 2005) and Trojan.Ransomcrypt (June 2009) that encrypt and hold files ransom on compromised systems.
Q: What is the severity of this Cryptolocker threat?
The severity is high. If files are encrypted by Cryptolocker and you do not have a backup of the file, it is likely that the file is lost.
Q: How do I know I have been infected by Cryptolocker?
Once infected, you will be presented on screen with a ransom demand.
Figure 1. Cryptolocker ransom demand
Q: How does a victim get infected?
Victims receive spam email that use social engineering tactics to try and entice opening of the attached zip file.
Figure 2. Cryptolocker spam email example
If victims open the zip file attached to the email, they will find an executable file disguised to look like an invoice report or some other similar social engineering ploy, depending on the email theme. This executable file is Downloader.Upatre that will download Trojan.Zbot. Once infected with Trojan.Zbot, the Downloader.Upatre also downloads Trojan.Cryptolocker onto the compromised system. Trojan.Cryptolocker then reaches out to a command-and-control server (C&C) generated through a built-in domain generation algorithm (DGA). Once an active C&C is found, the threat will download the public key that is used to encrypt the files on the compromised system while the linked private key—required for decrypting the files— remains on the cybercriminal’s server. The private key remains in the cybercriminal control and cannot be used without access to the C&C server which changes regularly.
Figure 3. Cryptolocker attack steps
Q: Does Symantec have protection in place for Cryptolocker and the other associated malware?
Yes. Symantec has the following protection in place for this threat:
Detection name |
Detection type |
Antivirus signature |
|
Antivirus signature |
|
Antivirus signature |
|
Antivirus signature |
|
Heuristic detection |
|
Heuristic detection |
|
Heuristic detection |
|
Intrusion Prevention Signature |
Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.
Some earlier Symantec detections that detect this threat have been renamed:
Q: What do the C&Cs look like?
The following are recent examples of command-and-control (C&C) servers from the DGA:
Cryptolocker can generate up to one thousand similar looking domain names per day in its search for an active C&C.
Q: How sophisticated is this threat?
While the Cryptolocker campaign uses a common technique of spam email and social engineering in order to infect victims, the threat itself also uses more sophisticated techniques like the following:
Q: How prevalent is the threat?
Symantec telemetry for this threat shows that the threat is not very prevalent in the wild at present. While the numbers being reported are low, the severity of the attack is still considerable for victims.
Figure 4. Top 5 countries reporting detections
Q: Has Symantec previously released any publications around these attacks?
Yes, Symantec has released the following blogs:
Q: Should I pay the ransom?
No. You should never pay a ransom. Payment to cybercriminals only encourages more malware campaigns. There is no guarantee that payment will lead to the decryption of your files.
Q: Who is behind the Cryptolocker malware?
Investigations into the cybercriminals behind the Cryptolocker malware are ongoing.
Q: Is there any advice on how to recover files affected by this attack?
Yes, Symantec Technical Support has released the following article:
Q: Any advice on how to not become a victim?
Yes. First, follow information security best practices and always backup your files. Keep your systems up to date with the latest virus definitions and software patches. Refrain from opening any suspicious unsolicited emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.
Q: Does Symantec offer backup and disaster recovery software?
Yes. Symantec has the Backup Exec Family of products.
トロイの木馬 Ransomlock は、数年前からマルウェアの世界にはびこっていますが、最近のサイバー犯罪では Ransomcrypt の増加が目立っています。Ransomlock と Ransomcrypt の違いは、Ransomlock がコンピュータ画面をロックするのに対して、Ransomcrypt は個々のファイルを暗号化(してロック)するという点です。被害者を脅迫して金銭を奪い取ろうとする点は共通しています。
最近、シマンテックが Trojan.Ransomcrypt.F として検出している新しい脅威(別名 Cryptolocker)が増加しています。Trojan.Ransomcrypt.F は、画像や Microsoft Office 文書などのデータファイルを暗号化したうえで、復号するには Bitcoin または MoneyPak を通じた支払いが必要であると要求してきます。しかも、常に制限時間のカウントダウンが表示されます。Ransomcrypt は強力な暗号化アルゴリズムを採用しているため、暗号鍵がなければファイルの復号はほぼ不可能です。
図 1. Trojan.Ransomcrypt.F の支払い要求画面
Trojan.Ransomlock.F の感染は、大部分が北米で確認されています。
図 2. Trojan.Ransomlock.F の感染分布図
初期の攻撃経路は、悪質な Trojan.Zbot が添付された電子メールなどで、これによって Trojan.Ransomlock.F が標的のコンピュータにダウンロードされ、インストールされます。Ransomcrypt はドメイン生成アルゴリズム(DGA)を使ってアクティブなコマンド & コントロール(C&C)サーバーを検出します。
図 3. Ransomcrypt の DNS 要求
シマンテック製品をお使いのお客様は、侵入防止(IPS)シグネチャ System Infected: Trojan.Ransomcrypt.F によって保護されており、生成されたドメインに対する Ransomcrypt のアクセスが遮断されます。
作成者が DGA を使うのは、マルウェアが少数の静的なサーバーのみに依存するのを避けるためです。Trojan.Ransomcrypt.F のようなマルウェアは、一定の基準(一般的には現在の日付を含む)に基づいて動的に生成されるドメイン名を使うため、ドメイン名フィルタだけに頼ってそのトラフィックを遮断することは困難です。
Ransomcrypt の DGA で注目に値するのは、ドメイン名を生成する際の乱数の生成に、メルセンヌツイスタが採用されている点です。Trojan.Ransomcrypt.F は、Windows の GetTickCount 関数と QueryPerformanceCounter 関数を使ってメルセンヌツイスタ初期化ルーチンのためのシード値を生成します。
図 4. Trojan.Ransomcrypt.F のメルセンヌツイスタ初期化ルーチン
メルセンヌツイスタの出力値を 0 ~ 1,000 の範囲に収めるために合同算術が使われ、その値と現在の日付を組み合わせて 1 日当たり最大 1,000 個のドメイン名が生成されます。
マルウェアのサンプルでメルセンヌツイスタが見つかるのはまれですが、以前にも、Trojan.Zbot で確認されています。
図 5. Trojan.Zbot のメルセンヌツイスタ初期化ルーチン
Trojan.Zbot と Trojan.Ransomcrypt.F を比較するとコードに類似点が見られることから、2 つのトロイの木馬には何らかの関係があるとも考えられます。Zbot のソースコードはインターネット上から無償で入手することができ、変更も可能です。
ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。また、必要に応じてファイルのバックアップと復元を行うようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
While Ransomlock Trojans have plagued the threat landscape over the last few years, we are now seeing cybercriminals increasingly use Ransomcrypt Trojans. The difference between Ransomlock and Ransomcrypt Trojans is that Ransomlock Trojans generally lo…