ビジネスの成功のためには、良い顧客サービスが不可欠です。暗号化型ランサムウェアの作成者が、ユーザの身代金支払いプロセスの簡易化を考えていたとしても、意外ではないでしょう。今回確認された「JIGSAW」の亜種には、新しい手法が取り入れられていました。身代金を手に入れるために「Dark Web(ダークWeb)」の支払いサイトを利用するのではなく、ライブチャットサポートを利用してユーザと会話します。
この新しい亜種(「Ransom_JIGSAW.H」として検出)には、以前確認されている「JIGSAW」と類似した特徴が見られます。
図1:「JIGSAW」の脅迫メッセージ
しかし、これまでの「JIGSAW」との大きな相違が確認されています。今回の「JIGSAW」には、ライブチャットサポートへのリンクが記載されています。
図2:「JIGSAW」のライブチャットサポート
サイバー犯罪者は、ユーザに回答するサポート要員を実際に配置していました。どこまで回答してくれるかを確認するために、トレンドマイクロは、『業務に使用するPCが「JIGSAW」に感染した、ニューヨーク在住の会社員』を装いました。以下に示す会話は、左側が弊社、右がサイバー犯罪者です。以下は、実際の会話で編集していません。
How can I help you
(ご用件はなんでしょうか)
can you really decrypt my files?
(本当に私のファイルを復号できるんですか?)
yes
its automatic
on payment is received all you have to do is click that you made payment
and the system will verify instantly
(はい、できます
復号は支払いの後自動で行われます
「払込完了」をクリックするだけで
システムが即座に照合します)
why are you guys doing this to us?
(どうしてこんなことをするんですか?)
I am here to help you get your files back.
Let me know if you need any other instructions or help
(私はあなたのファイルを取り戻すサポートをしています。
他にご案内できることはありますか)
im doomed!
my boss gonna fired me
(もう終わりだ!
私はきっとクビになる)
all you have to do is pay $150. New york has Bitcoin atms
or you can visit www.localbitcoins.com
(150米ドルをお支払いいただけばいいんです。ニューヨークにはビットコインATMがあります
またはwww.localbitcoins.comへアクセスしてください)
thats too much for me
(そんなの高すぎて払えません)
sorry. depending on the amount of files encrypted it doubles to $300 after 24 hours and $450 after 72
it doesnt happen to all computers it depends on the file size encryption
(お気の毒です。料金は暗号化されたファイルの量に応じて、
24時間経過すると2倍の300米ドルに、72時間経過すると
450米ドルになります。
すべてのPCに発生するわけではありません。暗号化されたファイルのサイズにより変化します)
is there a way to lower na payment?
(支払額を安くする方法はないですか)
We can do $125
that the minimum
and that is within 24 hours
(125米ドルまでなら下げられます
それ以下にはなりません
それも24時間以内の場合です)
let me see if i can work this with my boss
(なんとかなるか上司に相談します)
just send a message if we are not online we will come back online within 10 minutes
And we do decrypt all you files
100%
you have to message me when you make the payment so I can accept the $125 into the system if not it will tell you you haven’t payed enough. Each wallet is unique to the computer so I can verify instantly
(こちらがオンラインにいなければメッセージを送信してください
10分以内でオンラインに戻ります
私どもはあなたのファイルを100%全て復号します
払込完了後メッセージを送信してもらえば125米ドルで受け付けるようシステムを操作します
でなければシステムは支払額の不足を通知するでしょう。決済はそれぞれシステム上個別です
のでこちらですぐに照合できます)
この「JIGSAW」の背後にいるサイバー犯罪者は、専用のチャットのプラットフォームを作成していません。代わりに「onWebChat」という一般に入手できるチャットのプラットフォームを利用しています。onWebChat のクライアントを呼び出すスクリプトが Webサイトに埋め込まれています。onWebChat サーバへの接続は SSL/TLS による暗号化で保護されているので暗号化されたトラフィックを傍受するプロキシが存在しないため、解析のためのトラフィックのパケットキャプチャと傍受を困難にしています。弊社は、この点について既にonWebChat に報告しています。
興味深いことに、ライブチャットサポート側のサイバー犯罪者は、ユーザが正確にいつ感染したのか知りませんでした。「JIGSAW」のタイマーは、感染PC の cookie の設定に基づいているだけなので、cookie が削除されればカウントダウンはリセットされ、24時間に戻ります。つまり、身代金の支払額についてはユーザの正直な申告にかかっていることになります。
サイバー犯罪者にとって顧客重視のサポートを採用した結果思わぬ効果を得ているようです。いずれにしても、この暗号化型ランサムウェアの被害に遭ったユーザは、ファイルが暗号化された際、即座にサポート対応してくれる相手が存在することになります。これにより被害者は支払ってしまう恐れがあります。もちろん、支払うことは推奨しません。
もう一点注目すべきことが確認されています。弊社は、このライブチャットサポートをホストしている Webサイトを調査している時、もう1つの不正プログラムが同サイトを利用しているのを確認しました。しかし、この不正プログラムは、単純に端末をロックする不正プログラムで、セーフモードで再起動することによって回避し、削除することが可能です。
図3:もう1つの不正プログラムによってロックされた画面
今回確認された「JIGSAW」と単純にロックをする不正プログラムは、同じ Webサイトに同一の身代金要求額、そして “Ransom ID” を利用しているなど、全体的に類似していることから、どちらも同じサイバー犯罪者が関与していることは間違いないと考えられます。
このような顧客サービスを重視したランサムウェアは珍しいとはいえ、今までに全く例がなかったわけでありません。例えば、以前確認された「Curve-Tor-Bitcoin(CTB)Locker」の亜種は、ユーザのファイルを一部無料で復号していました。
■ トレンドマイクロの対策
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。
企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策とることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、侵入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。
トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
- 法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
- 個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
「Ransom_JIGSAW.H」に関連する SHA1ハッシュ値:
- 71670ac6e52967b547d311df8cfb0172cbcd23c7
- ca84c5ec27f84348be84e971c85fe52f678ca8da
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)