Tag Archives: Ransomcrypt

Cryptolocker（Trojan.Cryptolocker）が成功を収めたその裏で、マルウェアの作成者は新しい Ransomcrypt Trojan タイプのマルウェアの開発に精力を傾けていました。高機能化が進んだ CryptoDefense（Trojan.Cryptodefense）も、そうしたマルウェアのひとつです。CryptoDefense が出現したのは 2014 年 2 月のことですが、シマンテックの遠隔測定によると、それ以降、シマンテック製品は CryptoDefense への感染を 11,000 件以上（重複を除く）も遮断しています。CryptoDefense の作成者が身代金の受け渡し用として用意していた Bitcoin アドレスを使い、公開されている Bitcoin ブロックチェーン情報を参照して試算したところ、このマルウェアによってサイバー犯罪者は、たった 1 カ月で 34,000 ドルを稼いだと推測できます（執筆時点の Bitcoin 相場による）。

模倣
「Imitation is not just the sincerest form of flattery – it’s the sincerest form of learning（模倣は最も誠実な形のお世辞であるのみならず、最も誠実な形の学習である」 – ジョージ・バーナード・ショー

CryptoDefense は基本的に、これまでの Ransomcrypt Trojan の作成者たちが被害者から金銭を脅し取ろうとして使ってきた数々の効果的な手法を取り込んだハイブリッド設計で、高度な機能を備えています。使われている手法としては、Tor や Bitcoin によって匿名性を狙う、強力な RSA 2048 暗号化を使う公開鍵暗号によって確実にファイルを人質に取るなどのほか、指定した短い期限のうちに支払いがない場合には身代金が釣り上がると称して脅しをかける圧力戦術もあります。ただし、CryptoDefense の作成者は暗号機能の実装スキルに乏しく、人質に取ったコンピュータに、独自に解決するための手掛かりを残しています。

感染
シマンテックが確認したところ、CrytoDefense は図 1 に示すような電子メールを使って拡散しています。

図 1. 悪質なスパムメールの例

ネットワーク通信
最初に実行されると、CryptoDefense は以下のいずれかのリモートサイトとの通信を試みます。

• machetesraka.com
• markizasamvel.com
• armianazerbaijan.com
• allseasonsnursery.com

最初の通信には、侵入先のコンピュータのプロファイルが含まれています。リモートサイトからの返信を受け取ると、次に暗号化を開始し、秘密鍵をサーバーに返送します。リモートサーバーで秘密の復号鍵の受信が確認されると、侵入先のコンピュータのデスクトップのスクリーンショットがリモートサイトにアップロードされます。

身代金の要求
ファイルの暗号化が終わると CryptoDefense は、暗号化されたファイルが格納されているフォルダごとに、身代金要求のための以下のファイルを作成します。

• HOW_DECRYPT.TXT
• HOW_DECRYPT.HTML
• HOW_DECRYPT.URL

図 2. HOW_DECRYPT.HTML ファイルの例

図 2 を見るとわかるように、CryptoDefense の作成者は要求した身代金の受け渡しに Tor ネットワークを使っています。被害者が Tor ネットワークのことを知らない場合のために、Tor 対応ブラウザをダウンロードして支払い用 Web ページのアドレスを入力するまでの手順も、わざわざ用意されています。Tor ネットワークを使うと、Web サイトの場所を隠して匿名性を保つことができるため、Web サーバーが停止措置を受けにくくなります。Cryptorbit（Trojan.Nymaim.B）などの同類の脅威でも、過去に同じ手口が使われていました。

身代金の受け渡し
身代金要求の中で指定されていた個人専用ページを Tor 対応ブラウザで開くと、CAPTCHA ページが表示されます。

図 3. 被害者に表示される CAPTCHA の例

CAPTCHA に正しい文字列を入力すると、次に身代金の決済ページが開きます。

図 4. CryptoDefense の身代金決済ページ

ここで注意しなければならないのは、要求されている 500 ドル/ユーロという金額を 4 日以内に支払わないと、身代金が倍になるという点です。このように期限を設けて急かせる手口を使われると、被害者は損失の可能性を評価する際のコストについてあまり疑問視しなくなるという傾向があります。決済ページには［My screen］というボタンが用意されていますが、これは侵入先のコンピュータでデスクトップのスクリーンショットを取得してアップロードすることで、ユーザーのシステムに侵入した証拠を見せるためです。さらには、［Test decrypt］ボタンを使えば被害者が 1 ファイルだけ復号できるようにしておき、実際に復号が可能であるという証拠も見せています。そのうえ、身代金を支払うために Bitcoin を取得する方法まで教えてくれるという周到さです。

暗号化
CryptoDefense は強力な RSA 2048 暗号を使った公開鍵暗号を採用しています。つまり、いったんファイルが暗号化されてしまうと、秘密鍵がないかぎり被害者がファイルを復号することはできません。Cryptolocker の場合、秘密鍵は攻撃者が管理しているサーバーでしか見つからなかったため、暗号化/復号の鍵は完全に攻撃者の管理下にありました。一方、CryptoDefense での暗号化の実装方法を調べたところ、攻撃者は重要な情報を見落としていることがわかりました。秘密鍵のありかが保存されていたのです。

作成者自身が身代金要求の中で謳っているように、ファイルは被害者のコンピュータ上で生成された RSA-2048 鍵で暗号化されています。そのために、Microsoft 独自の暗号インフラと Windows API を使って、攻撃者のサーバーに平文で返信する前に鍵の生成が実行されます。ところが、この方法を使うということは、攻撃者が人質として確保しているはずの復号鍵が、実際には攻撃者のサーバーへの転送後にも感染したコンピュータにまだ残っているということになります。

Microsoft の暗号インフラを使うと、秘密鍵は次の場所に格納されます。

%UserProfile%\Application Data\Microsoft\Crypto\RSA

作成者が暗号機能の実装スキルに乏しいため、手掛かりどころか、文字どおり逃げ出すための「鍵」を人質に残してしまっているということです。Microsoft の暗号インフラで鍵を格納するアーキテクチャについて詳しくは、こちらを参照してください。

攻撃者の獲得額
シマンテックは、CryptoDefense の身代金要求で以下の Bitcoin アドレスが使われていることを確認しています。

• 1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1（最初の取引は 2014 年 3 月 18 日）
• 19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27（最初の取引は 2014 年 2 月 28 日）

これらのアドレスで初めて Bitcoin 取引が行われたのは、2014 年 2 月 28 日です。これは、シマンテックが CryptoDefense のサンプルを初めて検出した日付と一致しています。このとき 2 つの Bitcoin アドレスで受け取られた取引の数に基づいて試算すると、CryptoDefense の実行犯はわずか 1 カ月で 34,000 ドルを稼いだことになります。

拡散状況
シマンテックの遠隔測定によると、CryptoDefense の感染が遮断された件数は、100 カ国以上、11,000 件（重複を除く）にものぼります。この検出数の大半は米国に集中しており、英国、カナダ、オーストラリア、日本、インド、イタリア、オランダと続きます。

図 5. CryptoDefense の検出分布

保護対策
関係はないものの、CrytoDefense と Cryptolocker の間には類似点があったため、シマンテックは当初、今回の脅威を他の検出結果とともに Trojan.Cryptolocker として検出していました。現在は、CryptoDefense を以下の定義名で検出しています。

ウイルス対策定義

• Trojan.Cryptodefense
• Trojan.Cryptolocker
• Trojan.Gen.2

ヒューリスティック検出定義

• WS.Trojan.H
• SONAR.Heuristic.112
• SONAR.Heuristic.113

評価ベースの検出定義

• Suspicious.Cloud.2
• Suspicious.Cloud.5.A
• Suspicious.Cloud.5.D

侵入防止シグネチャ

• System Infected: Trojan.Cryptodefense Activity

シマンテックの Symantec.Cloud サービスをお使いのお客様は、このマルウェアの拡散に使われているスパムメッセージからも保護されています。

最善の保護対策のために、コンシューマ向けまたはエンタープライズ向けに提供されているシマンテックの最新技術をお使いいただくことをお勧めします。この種の脅威からさらに保護するために、基本的なセキュリティ対策（ベストプラクティス）に従ったうえで、シマンテックの Backup Exec ファミリーなどの製品を使って常にファイルをバックアップすることをお勧めします。また、最新のウイルス定義対策とパッチを使って、システムを常に最新の状態に保つようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

On the back of Cryptolocker’s (Trojan.Cryptolocker) perceived success, malware authors have been turning their attention to writing new ransomcrypt malware. The sophisticated CryptoDefense (Trojan.Cryptodefense) is one such malware. CryptoDefense appeared in late February 2014 and since that time Symantec telemetry shows that we have blocked over 11,000 unique CryptoDefense infections. Using the Bitcoin addresses provided by the malware authors for payment of the ransom and looking at the publicly available Bitcoin blockchain information, we can estimate that this malware earned cybercriminals over $34,000 in one month alone (according to Bitcoin value at time of writing).

Imitation
“Imitation is not just the sincerest form of flattery – it’s the sincerest form of learning” – George Bernard Shaw.

CryptoDefense, in essence, is a sophisticated hybrid design incorporating a number of effective techniques previously used by other ransomcrypt malware authors to extort money from victims. These techniques include the use of Tor and Bitcoins for anonymity, public-key cryptography using strong RSA 2048 encryption in order to ensure files are held to ransom, and the use of pressure tactics such as threats of increased costs if the ransom is not paid within a short period of time. However, the malware author’s poor implementation of the cryptographic functionality has left their hostages with the key to their own escape.

Infection
Symantec has observed CrytoDefense being spammed out using emails such as the one shown in Figure 1.

Figure 1. Malicious spam email example

Network communications
When first executed, CryptoDefense attempts to communicate with one of the following remote locations:

• machetesraka.com
• markizasamvel.com
• armianazerbaijan.com
• allseasonsnursery.com

The initial communication contains a profile of the infected computer. Once a reply is received from the remote location, the threat then initiates encryption and transmits the private key back to the server. Once the remote server confirms the receipt of the private decryption key, a screenshot of the compromised desktop is uploaded to the remote location.

Ransom demand
Once the files are encrypted, CryptoDefense creates the following ransom demand files in every folder that contains encrypted files:

• HOW_DECRYPT.TXT
• HOW_DECRYPT.HTML
• HOW_DECRYPT.URL

Figure 2. Example of HOW_DECRYPT.HTML file

As can be seen in Figure 2, the malware authors are using the Tor network for payment of the ransom demand. If victims are not familiar with what the Tor network is, they even go as far as providing instructions on how to download a Tor-ready browser and enter the unique Tor payment Web page address. The use of the Tor network conceals the website’s location and provides anonymity and resistance to take down efforts. Other similar threats, such as Cryptorbit (Trojan.Nymaim.B), have used this tactic in the past.

Payment
Once the user opens their unique personal page provided in the ransom demand using the Tor Browser, they will be presented with a CAPTCHA page.

Figure 3. Example of CAPTCHA shown to victim

Once they have filled in the CAPTCHA correctly, the user will be presented with the ransom payment page.

Figure 4. CryptoDefense ransom payment page

Of note here is the ransom demand of 500 USD/EUR to be paid within four days or the ransom doubles in price. The use of time pressure tactics by the cybercriminals makes victims less likely to question the costs involved when evaluating potential losses. The cybercriminals offer proof through a “My screen” button, included on the payment page, that they have compromised the user’s system by showing the uploaded screenshot of the compromised desktop. They also offer further proof that decryption is feasible by allowing the victim to decrypt one file through the “Test decrypt” button. They then proceed to educate their victim on how to get hold of Bitcoins to pay the ransom.

Encryption
CryptoDefense employs public-key cryptography using strong RSA 2048 encryption. This means that once the files have been encrypted, without access to the private key, victims will not be able to decrypt the files. With Cryptolocker, the private key was only ever found on servers controlled by the attacker, meaning the attackers always maintained control over the encryption/decryption keys. On investigating how CryptoDefense implemented its encryption, we observed that the attackers had overlooked one important detail: where the private key was stored.

As advertised by the malware authors in the ransom demand, the files were encrypted with an RSA-2048 key generated on the victim’s computer. This was done using Microsoft’s own cryptographic infrastructure and Windows APIs to perform the key generation before sending it back in plain text to the attacker’s server. However, using this method means that the decryption key the attackers are holding for ransom, actually still remains on the infected computer after transmission to the attackers server.

When using Microsoft’s cryptographis infrastructure, private keys are stored in the following location:

%UserProfile%\Application Data\Microsoft\Crypto\RSA

Due to the attackers poor implementation of the cryptographic functionality they have, quite literally, left their hostages a key to escape. Further details of Microsoft’s key storage architecture can be found here.

Earnings
Symantec is aware of the following Bitcoin addresses being used in CryptoDefense ransom demands:

• 1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1 (First transaction March 18, 2014)
• 19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27 (First transaction February 28, 2014)

The first known Bitcoin transaction for these addresses was on February 28, 2014. This corresponds with the first detection of a CryptoDefense sample by Symantec. At this time, based on the number of received transactions for both Bitcoin addresses, Symantec can estimate that the cybercriminals behind CryptoDefense have earned over $36,000 in just one month.

Prevalence
Symantec telemetry shows that we have blocked over 11,000 unique CryptoDefense infections in over 100 countries. The United States makes up the majority of these detections followed by the United Kingdom, Canada, Australia, Japan, India, Italy, and the Netherlands.

Figure 5. Heatmap for CryptoDefense detections

Protection
Although not related, such were the similarities seen between CrytoDefense and Cryptolocker that Symantec initially detected this threat as Trojan.Cryptolocker along with numerous other detections. Symantec detects CryptoDefense under the following detection names:

Antivirus detections

• Trojan.Cryptodefense
• Trojan.Cryptolocker
• Trojan.Gen.2

Heuristic detections

• WS.Trojan.H
• SONAR.Heuristic.112
• SONAR.Heuristic.113

Reputation detections

• Suspicious.Cloud.2
• Suspicious.Cloud.5.A
• Suspicious.Cloud.5.D

Intrusion prevention signatures

• System Infected: Trojan.Cryptodefense Activity

Symantec customers that use the Symantec.Cloud service are also protected from the spam messages used to deliver this malware.

For the best possible protection, Symantec customers should ensure that they are using the latest Symantec technologies incorporated into our consumer and enterprise solutions. To further protect against threats of this nature, it is recommended that you follow security best practices and always backup your files using a product such as Symantec’s Backup Exec Family. Finally, always keep your systems up to date with the latest virus definitions and patches.