検索:
ホーム   »   不正プログラム   »   ランサムウェア「CryptoLocker」の新しい亜種を確認、USBワーム活動による感染拡大を狙う

ランサムウェア「CryptoLocker」の新しい亜種を確認、USBワーム活動による感染拡大を狙う

  • 投稿日:2013年12月26日
  • 脅威カテゴリ:不正プログラム, リムーバブル, TrendLabs Report, Webからの脅威, 攻撃手法, 感染媒体
  • 執筆:Technical Communications - Abigail Pichel
0

「TrendLabs(トレンドラボ)」は、2013年12月21日、注目すべき特徴を備えた「CryptoLocker(クリプトロッカー)」の亜種を確認しました。それは、ワーム活動の機能を備えるものです。

問題の亜種は、トレンドマイクロの製品では「WORM_CRILOCK.A」として検出され、解析の結果、リムーバブルドライブを媒介に拡散する「USBワーム」活動を行うことを確認しました。今回更新されたワーム活動機能は、非常に重要であると考えます。というのも、これまで確認されてきた「CryptoLocker」の亜種(「CRILOCK」ファミリ)にはみられなかったためであり、このワーム活動機能によりこれまでの「CryptoLocker」の亜種と異なり、容易に拡散することを示唆しています。

この新たな「CryptoLocker」は、ワーム活動の手法以外にも、既知の亜種に対して多くの相違点を持っています。この「CryptoLocker」は、PC への侵入方法として「UPATRE」のようなダウンローダに依存する代わりに、ピアツーピア(P2P)のファイル共有サイト上で “Adobe Photoshop” や “Microsoft Office” といったさまざまなソフトウェアの「アクティベータ」を装って配布されていました。P2Pサイト上に「CryptoLocker」をアップロードすることにより、サイバー犯罪者たちはスパムメールを作成および送信する必要がなく、容易に複数の PC に感染させることが可能となります。

「WORM_CRILOCK」のさらなる解析により、以前の亜種に比べ、明確な違いがあることがわかりました。この新たな「CryptoLocker」は、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」を利用せず、自身にハードコード化されたコマンド&コントロール(C&C)サーバを利用します。ハードコード化された URL は、関連する不正な URL の検出およびブロックを容易にします。一方、DGA は、大量の潜在的なドメインを利用するため、サイバー犯罪者は検出を回避することが可能になります。つまりこの新たな「CryptoLocker」は、いまだ改良の過程にあることを意味しています。そのためトレンドラボでは、次の亜種は、DGA の機能を備えるであろうと予想しています。

最新の「CryptoLocker」の亜種とその他の亜種の違いから、セキュリティ関係者の中には、この「CryptoLocker」は模倣犯により作成されたものだと考えるものもいます。しかし、作成者に関係なく、「WORM_CRILOCK.A」は、サイバー犯罪者たちに好んで利用される新たな攻撃手法になる可能性があることを示しています。

ユーザは、ソフトウェアのコピーを手に入れるために P2Pサイトを利用することは避けるべきです。常に公式の Webサイトや信頼のおける Webサイトからソフトウェアをダウンロードしてください。「WORM_CRILOCK」の USBワーム活動を考慮すると、ユーザは、USBメモリなどの使用時も注意する必要があります。普段使用していない PC や見知らぬ PC には、決して USBメモリなどを接続しないでください。本ブログの投稿、「ランサムウェア「CryptoLocker」に感染しないためにすべきこと」では、「CryptoLocker」から PC やネットワークを守るさらなる方法を詳説しています。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。また、「ファイルレピュテーション」技術により、上述の「CryptoLocker」を検出し、削除します。そして、挙動監視機能サービス「AEGIS」により、「WORM_CRILOCK」に関連するすべての脅威を検出し防御します。

※協力執筆者:Mark Manahan および Jimelle Monteser

参考記事:

  • 「New CryptoLocker Spreads Via Removable Drives」
    by Abigail Pichel (Technical Communications)
  • 翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 仮想環境で拡散する「MORCUT」ファミリの亜種を確認
    2. なぜ「WORM_VOBFUS」は今もなお感染拡大しているのか
    3. ワーム機能を備えるオンライン銀行詐欺ツール「ZBOT」の亜種を確認
    4. 「ZBOT」やその他の情報収集型不正プログラムにも利用されるプログラミング言語「AutoIt」


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.