Trojan.Ransomcrypt.G – HACKER MEDICINE

??????Ransomcrypt Trojan ???

Hacker Medic March 6, 2014 No Comments

Ransomcrypt の作成者は、良心のかけらもないことで知られています。これまでも常に、被害者は脅迫的な要求に支払いで応じ、ファイルを復号してもらうしか選択の余地がありませんでした。しかし、今回出現した Trojan.Ransomcrypt.G では様子が少し違うようです。Trojan.Ransomcrypt.G の作成者が詐欺師であることに違いはありませんが、何らかの行動原理に従っているらしく、身代金を支払わなくても 1 カ月が経過すれば、被害者のファイルを無償で復号すると申し出てきます。このような行動で作成者が無罪放免されるわけではないものの、残念ながらこの詐欺の被害に遭ったユーザーにとっては、一縷の望みと言えるでしょう。

図 1. Trojan.Ransomcrypt.G によって生成されるランサムウェアファイル「how to get data.txt」の一部

Trojan.Ransomcrypt.G の最初の例は、被害を受けたユーザーから、あるオンラインフォーラムに報告されました。侵入先のシステムでデータファイルを暗号化する、典型的な Ransomcrypt Trojan です。暗号化するファイルの拡張子は、Trojan.Ransomcrypt.G のバイナリファイルに格納されている長大なリストに照合してチェックされます。一般的な種類のデータファイルはほとんど影響を受けますが、完全なリストはこちらを参照してください。暗号化されたファイルには、.OMG! というファイル拡張子が追加されます。たとえば、hello.doc というファイルが Trojan.Ransomcrypt.G によって暗号化されると、hello.doc.OMG! という名前に変わります。

侵入を受けると、暗号化されたファイルと同じディレクトリに「how to get data.txt」というテキストファイルが生成されます。

図 2. 暗号化されたファイルを含むディレクトリ

このファイルを開くと、暗号化されたファイルとこのテキストファイルを添付して電子メールを攻撃者に送信するようにという指示が書かれています。攻撃者からは、復号された一部のファイルが添付されたメールが返信されてきます。そのメールに、すべてのデータファイルを復号できるロック解除ツールの入手方法が記載されています。

この「how to get data.txt」ファイルの末尾には、通常とは異なる文字列が含まれています。

図 3. ランサムウェアのファイルに含まれるバイナリ文字列

この文字列が実は、暗号化された暗号鍵と、感染のタイムスタンプ情報のバイナリダンプです。ロック用のこの鍵が、感染したシステムでファイルの暗号化と復号に使われます。鍵は、Windows 標準の暗号化機能を使って、感染したシステム上で動的に生成されます。その鍵を平文で送信するのではなく、Trojan.Ransomcrypt.G のバイナリデータの設定データに含まれる公開暗号鍵（RSA）を使って、ロック用の鍵を暗号化します。攻撃者は対応する秘密鍵を知っているので、それを使ってテキストファイルのバイナリ文字列の解読、ロック用鍵の回復、送られてきた暗号化ファイルの復号を行うことができます。また攻撃者は、暗号化された文字列から感染のタイムスタンプを取り出し、被害者が無償のロック解除ツールを使える期間になったかどうかも判定できます。

Ransomcrypt Trojan では、攻撃者が制御しているサーバーと被害者のシステムとの間のネットワーク通信によって、この種の鍵交換が自動化されているのが普通です。Trojan.Ransomcrypt.G はより単純なアプローチを使っているため、同じ処理を実行する際にユーザーとのやり取りが必要になるのです。

ファイルを復号するために、けっして身代金を支払ってはいけません。シマンテックの最新技術と、コンシューマ向けのノートン製品やエンタープライズ向けのソリューションをお使いいただくことで、こういったランサムウェアの攻撃から保護することができます。ファイルは常にバックアップするようにしてください。そうすれば、必要に応じてファイルを復元することが可能です。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のトロイの木馬から保護されています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

OMG a Ransomcrypt Trojan with a Conscience!

Hacker Medic March 5, 2014 No Comments

Ransomcrypt authors are not known to have a conscience, and until now have always left their victims with no way out, other than paying the extortion demand to decrypt their files. This seems to have changed somewhat with the arrival of Trojan.Ransomcrypt.G. While the authors of this malware are still total scammers, they seem to have some principles and offer to decrypt the victim’s files for free after a one month period, even if the ransom has not been paid. While this behavior does not exonerate the actions of the malware authors, it does leave some light at the end of the tunnel for any unfortunate victims of this scam.

Figure 1. “how to get data.txt” snippet from ransom file left behind by Trojan.Ransomcrypt.G

Trojan.Ransomcrypt.G was first reported by affected users in an online forum. It is a typical ransomcrypt Trojan that encrypts data files on the infected system. File extensions are checked against a long list stored in the Trojan binary file. Most common data file types are affected and you can see the full list here. Encrypted files are given an extra file extension, .OMG!, by the Trojan. For example, if the Trojan encrypted the file hello.doc, it would rename it hello.doc.OMG!.

Compromised users may notice a text file called “how to get data.txt” in directories containing encrypted files.

Figure 2. Directory containing compromised files

This file informs the user that they must send an email to the attacker and attach the text file along with some encrypted files. The attacker will reply with the decrypted files and instructions on how to obtain the unlocker tool that they can use to decrypt all of their data files.

Users may also notice an unusual string of characters at the end of the “how to get data.txt” file.

Figure 3. Binary string from ransom file

This string is actually a binary dump of an encrypted cryptographic key and infection timestamp information. This locking key is used to encrypt and decrypt files on the infected system. It is dynamically generated on the infected system using standard cryptographic Windows functions. Rather than sending this key in plaintext, the Trojan encrypts the locking key with a public cryptographic key (RSA) that is included in the configuration data in the Trojan binary data. The attacker knows the corresponding private key and so they can use it to decrypt the binary string in the text file, recover the locking key, and decrypt the encrypted files sent to them by the victim. The attacker can also recover the infection timestamp from the decrypted string and determine if the victim is eligible for the free unlocker tool.

Most ransomcrypt Trojans automate this type of key exchange with network communications between the victim’s system and a server controlled by the attacker. Trojan.Ransomcrypt.G uses a more basic approach that requires user interaction to perform the same operation.

Users should never pay any ransom to have their files decrypted. The latest Symantec technologies and Norton consumer and Symantec enterprise solutions protect against these kinds of attacks. You should always backup your files, that way you can restore them if necessary.

Symantec customers are protected from this Trojan with the following detections: