後方互換性のない暗号化型ランサムウェア「ZCRYPT」、Windows 7 以降を限定攻撃

あるものが流行していると判断できる目安は何でしょうか。簡単な目安は、出来の良くない類似品まで市場に出回ったときです。どうやらランサムウェアは、粗悪品が出まわるほど流行してきたようです。

新しく確認された暗号化型ランサムウェアファミリ「ZCRYPT(ズィークリプト)」(「RANSOM_ZCRYPT.A」として検出)の作成者は、Windows XP を対象から除外したか、作成に際して不十分な作業をしたようです。この新しいファミリは Windows の最近のバージョンである Windows7およびそれ以降の Windows しか対象とぜず、後方互換性がありません。「ZCRYPT」は、意図的に古いオペレーティングシステム(OS)を対象から省いたのでしょうか、それともただ中途半端に作成された不正プログラムなのでしょうか。

■ 限定的な暗号化型ランサムウェア

トレンドマイクロが「ZCRYPT」を確認した時、最初はこれといって特徴のない暗号化型ランサムウェアのように見えました。この暗号化型ランサムウェアはユーザのファイルを暗号化し、そのマーカーとしてファイル拡張子を「ZCRYPT」に変えます。「ZCRYPT」は、以下のファイル形式のファイルを暗号化する機能を備えています。

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

 

「ZCRYPT」は、ユーザが1週間以内に身代金を支払わない場合はファイルを削除すると脅迫する典型的な暗号化型ランサムウェアです。身代金は1.2ビットコイン(約7万円。2016年6月2日現在)に設定されており、4日後に5ビットコイン(約29万円)に増額されます。以下のような脅迫メッセージが表示されます。

図1:脅迫メッセージ(クリックで拡大)
図1:脅迫メッセージ(クリックで拡大)

しかし「ZCRYPT」は、このような活動を Windows 7 およびそれ以降のシステムで実行しますが、それ以前のシステムでは試みるだけで実行できません。弊社の解析によると、Windows XP のような古いバージョンの Windows で「ZCRYPT」が起動した場合、ファイルの暗号化や脅迫メッセージの表示に失敗することが確認されています。「ZCRYPT」は、古い Windows のバージョンには存在しない機能を呼び出すため、それが古い OS では動作しない原因となっています。

興味深いことに、この暗号化型ランサムウェアは、リムーバブルドライブの中に自身のコピーを作成し、USBメモリ経由でも拡散を試みます。これは暗号化型ランサムウェアの拡散方法としては比較的珍しく、弊社では、2013年12月にこのような活動をする「CryptoLocker」の亜種を確認していますが、一般的な拡散方法として定着するには至りませんでした。暗号化型ランサムウェアの作成者たちは、通常の拡散方法である不正広告やスパムメールで満足しているようです。

■ コマンド&コントロール(C&C)サーバ

上述の脅迫メッセージは、感染PC が C&C サーバに接続された後に表示されます。接続先の C&Cサーバのドメイン名は「poiuytrewq.ml」です。これは標準QWERTYキーボード最上段のキー配列「QWERTYUIOP」を反転させた文字列です。トップレベルドメインは「.ml」としてマリ共和国が割り当てられています。このトップレベルドメインで登録されているドメインは2013年4月以降、無料で提供されています。なお、「ZCRYPT」をホストしていた Webサイトの URL も「.ml」のドメインでした。

ドメイン登録では登録者の身元が伏せられており、このことから攻撃者が無償の匿名登録を利用していたこともわかります。なお、C&Cサーバのドメインには、すでにそのドメインが無効であることを意味する「canceled, suspended, refused, or reserved.」が表示されています。

■ 推奨事項およびトレンドマイクロの対策

バックアップは、暗号化型ランサムウェアに対して、今でも最善の防衛策です。3-2-1ルールに従いバックアップを取ることによって、ランサムウェアの被害に遭ったとしても、データの無事が保証されます。

  • 3つ以上のコピーを保存
  • 2つの異なる種類の端末に保存(例:ハードドライブおよび USB)
  • そのうちのつは他の2つとは異なる場所に保存(例:自宅とオフィス)

弊社は、身代金の要求に応じないよう強く推奨します。要求に応じることは、ランサムウェアの脅威が継続し、被害が拡大することにつながります。

トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、「ZCRYPT」のような暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策とることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」およびWebゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正なURLをブロックすることによって、強固な保護を提供します。

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

ネットワークセキュリティ対策製品「TippingPoint」では、2016年5月31日以降、以下の ThreatDV フィルターにより今回の不正プログラムによる攻撃をブロックしています。

  • 24733: HTTP: Ransom_ZCRYPT.A

「Ransom_ZCRYPT.A」のハッシュ値:

  • D14954A7B9E0C778909FE8DCAD99AD4120365B2E

※協力執筆者: Rhena Inocencio、Jay Yaneza およびRuby Santos

参考記事:

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)