ランサムウェアは、手っ取り早く稼ぐ手段としてサイバー犯罪者の間で依然人気が高いようです。そして、次々に新しいファミリや亜種が拡散されています。今回トレンドマイクロは、暗号化型ランサムウェア「R980」(「RANSOM_CRYPBEE.A」として検出)を新たに確認しました。
「R980」は、スパムメールあるいは改ざんされた Webサイトを経由して拡散することが確認されています。「Locky」「CERBER」「MIRCOP」と同様に、「R980」を拡散するスパムメールには不正なマクロを埋め込んだ文書ファイル(「W2KM_CRYPBEE.A」として検出)が添付されています。不正なマクロは、特定の URL から「R980」をダウンロードします。「R980」が検出された2016年7月26日以降、その URL への頻繁な接続が確認されています。
図1:感染PC の壁紙にも設定される「R980」の脅迫メッセージの例
文書ファイル、画像ファイル、データベースその他重要ファイルすべてを暗号化方式 AES-256 と RSA4096 で暗号化しました。あなたのファイルは、こちらのサーバで保管している秘密鍵がなければ復号できません。セキュリティ対策製品でファイルを復号することはできません。
復号方法については、デスクトップの「復号方法について」のファイルを参照してください。)
図2:不正な文書に埋め込まれたマクロが URL hxxp:// bookmyroom[.]pk/assets/timepicker/f[.]exe からランサムウェアをダウンロードする
「R980」は、151種類のファイル形式を AES-256 と RSA-4096 のアルゴリズムを組み合せて暗号化します。暗号化したファイルに拡張子「.crypt」を追加しますが、同じ拡張子を追加することで知られる暗号化型ランサムウェア「CryptXXX」の旧バージョンとの他の類似点はありません。暗号化の方法については、アプリケーション開発者が Windows用アプリケーションに暗号化機能を実装するために使うライブラリ「Cryptographic Service Provider(CSP、暗号化サービスプロバイダ)」が利用されます。
図3:他の暗号化型ランサムウェアファミリである「Locky」と同様に、「R980」は「CryptAcquireContext」や「CryptGenerateRandom」のような暗号化サービスプロバイダの機能を利用し、ファイルの暗号化に RSA を用いる
「R980」は、以下のレジストリキーを常に利用します。
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
また、他の多くのランサムウェアと違い、侵入後、自身を削除しません。「R980」は、以下のファイルを作成し「侵入の痕跡(Indicators of Compromise、IoC)」を残すことから、「DMALocker」(「RANSOM_MADLOCKER.B」として検出)を連想させます。
- rtext.txt: 脅迫状
- status.z: ランサムウェアの初回実行の IoC
- status2.z: 作成したコピーが実行された IoC
- k.z: ダウンロードした Base64 の復号データ
- fnames.txt: 暗号化したファイル名
図4:「R980」の脅迫状の例。復号ツールをユーザに送付するために必要な0.5ビットコイン(約3万円、2016年8月12日現在)の支払方法が記載されている
「R980」はコマンド&コントロール(C&C)サーバと通信し、身代金の支払い用に個々に設定されたビットコインアドレスを提供します。サイバー犯罪者は、自身への追跡を避けるため、数時間後に自動的にメールが削除されるシステムの使い捨てメールアドレスサービス「Mailinator」を利用します。また、同じメールアドレスサービスを利用して、ファイル復号ツールへのリンクが保管されているとされる公開メールアドレスをユーザ用に作成します。
図5:「R980」と C&Cサーバのネットワーク通信のスナップショット。身代金の支払いに利用するビットコインアドレスを提供している様子が示されている。ビットコインアドレスはユーザごとに異なる
「R980」は従来のランサムウェアを寄せ集めて作成されているようなものとはいえ、不正なマクロや改ざんされた Webサイトが感染経路として利用されている点から、危険な脅威であることには違いありません。ユーザは Office文書のマクロは無効にしたままにし、未知の送信元からのメールは削除してください。しっかりとしたバックアップを取ることも、ランサムウェア対策に有効です。
■ トレンドマイクロのランサムウェア対策
ご使用のシステムをランサムウェアから保護するには包括的な対策が必要です。多層防御によって、ランサムウェア感染をどの段階でもブロックすることが可能です。トレンドマイクロの製品は、「R980」のようなランサムウェアの場合、不正なマクロを検出しシステムに侵入する前にブロックすることができます。
個人ユーザおよび企業は、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策をとることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
「R980」に関連するハッシュ値
- 252E82E52DDDEE5D2593DA23793244195DFCF368 – W2KM_CRYPBEE.A
- 8340937BFD1546988E036FA5A5B44337EEA08466 – RANSOM_CRYPBEE.A
※協力執筆者:Francis Antazo 、Mary Yambao および Jasen Sumalapa
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)