Video Screencast Help
Security Response

ランサムウェアと Silence Locker Control Panel

Created: 23 Apr 2012 10:06:21 GMT • Translations available: English
Peter Coogan's picture
0 0 Votes
Login to vote

ランサムウェアは、その成功率の高さと儲けの大きさから、サイバー犯罪者の間で依然として人気が上昇しています。これまでにも、「ランサムウェアの猛威」などの記事でランサムウェアの種類と手口を紹介してきましたが、今回また新たな亜種が登場しました。これは Trojan.Ransomlock.K として検出されます。

ランサムウェアの新種が見つかること自体は珍しくありませんが、このランサムウェアで使われているコマンド & コントロール(C&C)サーバーのログインがまだ有効であることが、解析中に確認できました。

図 1: Silence Locker Control Panel のログイン画面
 

さらに解析と調査を進めた結果、Silence Locker Control Panel と呼ばれるコントロールパネルを特定しました。Silence Locker Control Panel はインターネットから無償でダウンロードでき、Trojan.Ransomlock.K と組み合わせて使われています。

図 2: Silence Locker Control Panel
 

Silence Locker Control Panel はロシア語で書かれていますが、過去に Trojan.ZbotTrojan.Spyeye といったマルウェアと組み合わせて使われていた他のコントロールパネルと類似した機能を持っています。上の図 2 に示す初期画面は、成功した感染数の追跡に使われています。

図 3: Silence Locker Control Panel の請求画面
 

上の図 3 は、国/地域や日付など、請求処理に関する詳細を追跡するための画面です。

図 4: Silence Locker Control Panel の画像選択
 

上の図 4 に示すように、このコントロールパネルには被害者の GeoIP ロケーションに応じて表示する画像を選択できるという、しゃれた小技の機能が付いています。つまり、コンピュータに感染すると、Trojan.Ransomlock.K はコントロールパネルをホストしているサイトに接続し、IP ロケーションに応じて異なる画像を被害者に表示します。これにより、サイバー犯罪者はコントロールパネルを使って、ソーシャルエンジニアリングの手法を国や地域別にローカライズし、詐欺が成功する確率を最大限にまで引き上げることが可能になります。デフォルトのままの画像を選択した場合には(図 4)、次の図 5 のような画像と、空白のフィールド、[Enter]ボタンが被害者の画面に表示されます。

図 5: Silence Locker Control Panel のデフォルト画像
 

一方、サイバー犯罪者が図 6 のような独自の画像をアップロードした場合には、ソーシャルエンジニアリングが駆使されたローカライズ済みの画面を被害者に表示して、コンピュータを保護するために代金を支払うよう促します。これは図 5 に示した画面と同じですが、背景画像が異なっています。画像の背後にある内部コードはどちらも同じであり、被害者は電子商取引の支払いシステムを通じて請求額を支払わされたうえに、図 3 のように Silence Locker Control Panel で追跡されるようになります。

図 6: Silence Locker Control Panel でアップロードされた画像
 

マルウェアやフィッシングのために Web ページコントロールパネルを使うクライムウェアキットは、サイバー犯罪者によって広く利用されています。それ自体は新しいものではなく、今後も続くと予測されます。Trojan.Ransomlock.K 用のトロイの木馬ビルダーは今のところ確認されていませんが、アンダーグラウンドのフォーラムで売買されている他のクライムウェアキットと同様であれば、キットの一部として Trojan.Ransomlock.K のビルダーが販売される可能性もあります(悪名高い Zeus や SpyEye のクライムウェアキットのように、ビルダーとコントロールパネルがセットになります)。

いつものように、警告画面が表示されたときには十分に注意し、こうした脅威から保護するためにウイルス対策定義は最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。