日本語で脅迫するランサムウェアを初めて確認

CryptoLocker」やその他の「身代金要求型不正プログラム(ランサムウェア)」の脅威が、2013年末から深刻な問題になっています。「TrendLabs(トレンドラボ)」では、2014年3月、ランサムウェアに新しい脅威が加わったことを確認しました。「BitCrypt」と呼ばれるこの新しい脅威は、「Bitcoin(ビットコイン)」による身代金支払いを要求すると同時に、日本語を含む複数の言語での脅迫を行う亜種の存在も確認されました。

トレンドラボでは、「BitCrypt」の 2種類の亜種を確認しています。1つ目の亜種は「TROJ_CRIBIT.A」で、暗号化したあらゆるファイルの拡張子に「.bitcrypt」を追加します。身代金を要求する脅迫状は英文のみです。2つ目の亜種は「TROJ_CRIBIT.B」で、「.bitcrypt 2」を拡張子に追加します。「脅迫状」は 10 の言語で記述され、以下の順で書かれています。

  • 英語
  • フランス語
  • ドイツ語
  • ロシア語
  • イタリア語
  • スペイン語
  • ポルトガル語
  • 日本語
  • 中国語
  • アラビア語

ランサムウェアはファイルの暗号化を完了した後で、この 10カ国語に対応した脅迫状を表示します。以下は、脅迫状の日本語で書かれた部分です。

図1:日本語で書かれた脅迫状
図1:日本語で書かれた脅迫状

他の言語で書かれた脅迫状も内容はほとんど同様で、機械翻訳を利用したように思われます。上記の他に、「TROJ_CRIBIT.B 」はデスクトップ背景の壁紙を黒一色に変え、白文字でユーザへのメッセージを表示します(図2)。

図2:壁紙に書かれたメッセージの例
図2:壁紙に書かれたメッセージの例

このランサムウェアは、解析をより困難にするために自身のコピーを PC 上に残しません。そのため、挙動の解析や感染経路の確定が難しくなります。

さらに調査を進めると、「TSPY_FAREIT.BB」が「TROJ_CRIBIT.B」をダウンロードすることを確認しました。「TSPY_FAREIT.BB」は情報収集を行う「FAREIT」ファミリの亜種のひとつであり、さまざまなビットコインのクライアントソフト(ウォレット)内の情報をすべて収集する能力を持っています。この亜種は、以下のビットコインウォレットのファイルを検索し、情報収集を試みます。

  • wallet.dat (ビットコイン)
  • electrum.dat (Electrum)
  • .wallet (MultiBit)

「CryptoLocker」と同様に、ファイルの暗号を解くために、ユーザは専門サイトのように見える Webサイトに誘導されます。しかし実際は、この Webサイトは「Deep Web」の一部であり、匿名通信システム「The Onion Router(Tor)」を利用した時のみアクセスが可能です。また、攻撃者は「Tor2Web」へのリンクも提供しており、ユーザは Tor を利用しなくてもこの Deep Web 内のサイトを訪れることができます。ユーザは、脅迫状に記載された BitCrypt ID を入力するように求められます。

図3:BitCrypt IDのログイン画面
図3:BitCrypt IDのログイン画面

ログインすると、ユーザは BitCrypt のホームページに誘導されます。その Webサイトは「Bitcrypt Software Inc.」となっており、身代金と引き換えにデータを復旧させる手順が提供されます。身代金として、支払いには 0.4ビットコイン(BTC)が要求されます。これは現在の価格ではおよそ 240米ドル(2014年3月27日時点、約2万4千円)です。サイバー犯罪者は、図4 のように Webサイト上で FAQページも提供しています。

図4:「BitCrypt」の FAQページ
図4:「BitCrypt」の FAQページ

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のフィードバックによると、「CRIBIT」の犠牲者の 40% は米国からのユーザです。また 11% が日本からとなっています。

「BitCrypt」は、トレンドラボが最近確認した多くのビットコイン関連の脅威の中でも最新のものです。ビットコインの価値は、昨年に最高値を記録して以降、下落していますが、それでもいまだに高い価値があります。そのため、ビットコインは摂取する価値のある「獲物」として、「BitCrypt」のようにビットコインによる身代金支払いを要求するランサムウェアや、「Mt.Gox」や「Vircurex」のようなビットコイン取引所を狙ったより大規模な攻撃が行われています。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事:

  • Ransomware and Bitcoin Theft Combine in BitCrypt
    by Rhena Inocencio (Threat Response Engineer)
  •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)