Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

ランサムウェアの猛威

Created: 14 Jan 2011 08:26:04 GMT • Translations available: English
Gavin O Gorman's picture
+1 1 Vote
Login to vote

最近のウイルスは金儲けを目的に作成されており、その目的を達成するための手口としては脅迫、情報の盗難、詐欺が利用されています。脅迫を利用する脅威は、なかでも最も攻撃的な部類であり、場合によってはこれほど不快なウイルスもありません。このようなウイルスは一般に、「ランサムウェア(身代金を要求するマルウェア)」と呼ばれています。今回は、これまでに出現した卑劣なランサムウェアを何種類か紹介します。

大胆不敵な手口
ランサムウェアは、その本質からして控えめなものではありえませんが、一部の種類は手口が特に強引です。人から金銭を脅し取るために、ユーザーにショックを与えるとともに困惑を誘います。この最も新しい例が、Trojan.Ransomlock.F です。一連の Trojan.Ransomlock は、ランサムウェアのうち、ユーザーのデスクトップをロックするタイプです。デスクトップをロックされたコンピュータは、正常に使用できなくなります。デスクトップへのアクセスを復元するには、有料サービスのサイトにテキストメッセージを送信するよう求められるのが一般的です。この指示に従うと、ロック解除用のコードを含むメッセージが送信されますが、それも運がいい場合だけでしょう(コンピュータに侵入した上に身代金を要求してくるような人物を信用したところで、たいていは裏切られるものだからです)。

Trojan.Ransomlock.F という亜種の場合には、デスクトップがロックされるだけでなく、デスクトップの壁紙が図 1 のような露骨なポルノ画像(修正済み)に変更されてしまいます。脅威の作者がこのような手口を追加した狙いは、ユーザーの動揺をあおることにあります。ポルノ画像がディスプレイいっぱいに表示されたら、誰でも間違いなくうろたえてしまいます。恥ずかしい事態を知られたくないばかりに、誰にも問題解決のための技術サポートを求めないという可能性も高いでしょう。

1: Trojan.Ransomlock.F の修正済み画像(メッセージの翻訳は図 2 を参照)

警告!

ゲイポルノビデオを 3 時間ご視聴いただきました。
無料のご試聴時間が過ぎました。

ご利用料金をお支払いいただくために、Beeline システムから XXXXXXX 宛てに 400 米ドルをオンライン送金していただく必要があります。

お支払いを受け取りしだい、アクティブ化コードをお送りいたします。
以下のボックスにコードを入力して Enter キーを押してください。

2: Trojan.Ransomlock.F のメッセージの翻訳

類似の手口は、Infostealer.Kenzero でも使われています。この脅威は、アダルトゲームとして偽装されています。この Trojan が最初に実行されると、ユーザーは個人情報の入力を求められます。ユーザーがインターネット上のポルノサイトにアクセスするとそのページが監視され、ページのリストが特定の Web サイトにアップロードされます。そして、一定額を支払わなければ、このリストを個人情報とあわせて公開すると脅迫されるのです。これもやはり、金銭を脅し取るためにユーザーの困惑と羞恥心を狙った手口です。

バックアップを忘れずに
ランサムウェアの脅威が使う別のアプローチとして、コンピュータ上のファイルを人質にとる手口も定番です。比較的よく使われる方法ではありますが、長い間の進化を経て、暗号化の使い方が巧妙になっています。一般的なアプローチとして、まず侵入先のコンピュータ上でファイルを検索します。ユーザー自身が作成した .doc や .xls、.jpg などのファイルが見つかると、脅威によって暗号化され、暗号化されたファイルにはアクセスできなくなります。ファイルを復号化してアクセスできるようにするには、正しいキーを入手するしかなく、そのキーを手に入れるには当然、侵入されたコンピュータの所有者が身代金を支払わねばなりません。

これを実装した古くからの代表が Trojan.GPCoder.E です。このトロイの木馬は、侵入先のコンピュータに固有の暗号化キーを生成し、システムの日付が 2007 年 7 月 10 日より後かどうかをチェックします。日付がこの条件に当てはまる場合には、あらゆるファイルが検索され、生成したキーを使って暗号化されます。さらに、暗号化されたファイルが格納されている各フォルダに、次のようなメッセージ(図 3)が残されます。

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
(拝啓。あなたのファイルは RSA-4096 アルゴリズム(http://ja.wikipedia.org/wiki/RSA暗号)によって暗号化されました。)
  You will need at least few years to decrypt these files without our software.
  (当方のソフトウェアを使わずにファイルを復号化するには、少なくとも数年はかかります。) 
  All your private information for last 3 months were collected and sent to us.
  (あなたの過去 3 カ月分の個人的なデータはすべて収集され、当方に送信されました。)
  To decrypt your files you need to buy our software. The price is $300.
  (ファイルを復号化するには、ソフトウェアをお買い上げください。価格は 300 ドルです。)
  To buy our software please contact us at: [MAIL_ADDRESS] and provide us your personal code [PERSONAL_CODE].
  (ご購入については、当方にご連絡ください: [メールアドレス]。パーソナルコード [パーソナルコード] もお忘れなく。)
  After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
  (ご購入の完了後、復号化ツールをお送りします。あなたの個人情報も当方のシステムから削除いたします。)
  If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.
  (2007 年 7 月 15 日までにご連絡がない場合には、あなたの個人情報が公開され、データもすべて失われます。)
                Glamorous team(Glamorous チーム)

3: 脅迫のメッセージ

幸いなことに、この脅威では脅迫文どおりに RSA が使われているわけではなく(さらに言えば文法チェッカーさえ使われていません)、生成された暗号化キーはレジストリに格納されていました。そのため、ユーザーがレジストリからキーを取り出し、ファイルを復号化することができました。
ところが、最近では実装方法がさらに巧妙になり、高度な暗号化技術が使われるようになってきました。Trojan.GPCoder.G は公開キーのアルゴリズム、RSA を利用しています。最初に、ランダムなキーによる対称キー暗号化のアルゴリズムを使ってローカルファイルが暗号化されます。次にこのランダムなキーが RSA キーペアの公開キーによって暗号化されます。このキーペアからの秘密キーがない限り、対称キーを取得してこのファイルを復号化することはできません。侵入されたコンピュータの所有者は、暗号化された対称キーと身代金をマルウェア作者に送信するしかなくなります。作者は、対称キーを復号化して返信します。このプロセスを示したのが図 4 です。これでようやくユーザーはファイルを復号化できるようになります。この手法を回避する方法はないため、残念ながら、身代金をマルウェア作者に送金しない限り(それも成功の保証があるわけではありません)、暗号化されたファイルを元に戻すには、バックアップから復元するしかありません。常にバックアップを忘れないようにしましょう。

4: Trojan.GPCoder.G のプロセス

ブートブロッキング
攻撃者が身代金を奪うための人質として狙える最も基本的なコンピュータリソースは、オペレーティングシステム自体です。オペレーティングシステムがなければ、ウイルス対策も機能せず、インターネットに解決策を求めることもできません。Trojan.Bootlock は、このような攻撃のために、マスターブートレコード(MBR)をカスタムコードで上書きします。MBR は、コンピュータのオペレーティングシステムを起動する機能を持っています。MBR をカスタムコードで上書きすると、ユーザーはオペレーティングシステムにアクセスできなくなり、起動時には図 5 に示すようなメッセージが表示されます。


 
5: Trojan.Bootlock

このメッセージで参照されている Web ページにアクセスすると、パスワードを取得するために 100 ドルを支払うように要求されます。ただし、攻撃者の説明とは違い、ハードディスクドライブは暗号化されておらず、オフラインでアクセスすることが可能です。ノートンブータブルリカバリツール(Norton Bootable Recovery Tool)を使えば、MBR を修復して脅威を駆除することができます。

いつものことですが、このような脅威に対する最善の防御策は、最新のウイルス対策と定期的なバックアップの習慣です。この記事で使った解析に協力してくれた Paul Mangan 氏、Yousef Hazimee 氏、Karthik Selvaraj 氏、Fergal Ladley 氏、Elia Florio 氏らのエンジニア各位に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。