ある脅威が特定の地域向けに作成される理由は、攻撃者が稼げると見込んでいるからです。すでに世界中で何百万ドルも稼ぎだしている「身代金要求型不正プログラム(ランサムウェア)」が、今度は中国へ乗り出そうとしているようです。しかし、新規市場開拓をもくろむこのランサムウェアには出来の悪い点がいくつかあります。
トレンドマイクロは、中国語版ランサムウェアとみられる検体を複数確認しました。これは「Ransom_SHUJIN.A」として検出されます。圧縮されたファイルを解凍すると、すべて同じ実行ファイルになります。中国語版ランサムウェアが確認されたのは今回が初めてではありませんが、簡体字を利用したものでは初めてのようです。簡体字は、通常、中国本土で使われます。2016年5月12日時点でこの攻撃の感染経路はまだ確認されていません。
ランサムウェア「SHUJIN(シュジン)」が実行されると、以下のメッセージが表示されます。
図1:ランサムウェアによる警告メッセージ
表示されるメッセージは他のランサムウェアのものと類似しています。ユーザのファイルが暗号化されているというメッセージとともに、暗号化されたファイルの総数、および暗号化されたファイルのサイズが表示されます。
脅迫メッセージも他のランサムウェアで利用されているものと同等で、「Dark Web(ダーク Web)」に設置された攻撃者の Webサイトに接続するために匿名通信システム「The Onion Router(Tor)」のブラウザをダウンロードするように指示があります。
図2:脅迫メッセージとその他の指示(クリックで拡大)
脅迫メッセージの文章から、作成者は中国語が流暢な人物と推察できます。指示内容も中国に合わせて変更されており、Torブラウザを探すために Google ではなく中国の検索エンジン「百度(Baidu)」の利用が推奨されています。また、中国でブロックされている Tor を利用するため「仮想プライベートネットワーク(Virtual private Network、VPN)」またはプロキシを利用することにも言及しています。
ダークWeb のサイトにある指示は、他のランサムウェアによる攻撃で見られるものと類似しています。図3は、ダークWeb 上の指示に SHUJIN が利用する URL情報の注釈を加えたスクリーンショットです。
図3:ランサムウェア SHUJIN が利用するダークWeb の URL
これらの URL は以下へ誘導します。
- hxxp://{BLOCKED}eumpb77ced[.]onion/Decrypt.exe – 「Ransom_SHUJIN.A」の最新のコピー
- hxxp://{BLOCKED}eumpb77ced[.]onion/GetMKey.JPG – 手順
- hxxp://{BLOCKED}eumpb77ced[.]onion/btc/ – 仮想通貨「Bitcoin(ビットコイン)」についての説明
- hxxp://{BLOCKED}eumpb77ced[.]onion/btc/help.html – ビットコインについての説明
- hxxp://{BLOCKED}eumpb77ced[.]onion/DeFile.JPG – その他の指示
しかし、問題のランサムウェアにはいくつかの不手際が見られます。今回、弊社がこの攻撃をランサムウェアによる攻撃と呼び、暗号化型ランサムウェアとしていない理由は、脅迫メッセージに反し、実際には暗号化が実行されないからです。
同様に、身代金の支払いにビットコインと Tor を利用する点も通常のランサムウェアと異なります。ビットコインの入手、Tor の利用、どちらも実行するためには技術的な知識が必要です。弊社は以前、中国でモバイル版ランサムウェアを確認していますが、それらの攻撃は中国で普及している決済サービス「支付宝(アリペイ)」を悪用し、やはり中国で普及しているソーシャル・ネットワーキング・サービス「QQ」のアカウントナンバーで攻撃者との連絡が可能でした。
弊社は、SHUJIN 自体が中国のインターネット情勢に適応していないことから、中国語が達者な攻撃者であるにもかかわらず中国以外に存在すると考えます。将来的には中国語話者が慣れている支払い方法を取り入れるなどして改良を加えた効果的な攻撃が出現する恐れがあります。
ハッシュ値
この攻撃に関連する不正プログラムのSHA1ハッシュ値は以下です。
- D6BAA9BE02723430EADE33432F7718FD93DD838B
協力執筆者:Lion Gu
参考記事:
- 「Chinese-language Ransomware Makes An Appearance」
by Jasen Sumalapao (Threat Response Engineer)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)