「TrendLabs(トレンドラボ)」は、2014年第1四半期セキュリティラウンドアップのなかで、ランサムウェア「CryptoLocker」といった複数の「身代金要求型不正プログラム(ランサムウェア)」を取り上げ、新たな不正活動について言及しました。例えば、警告文に複数の言語を利用したり、仮想通貨のウォレットから金銭を窃取したりといった事例でした。また、モバイル版のランサムウェアの登場によって、どのようにこれらの脅威が、時間と共に変化し続けているかが浮き彫りになりました。
トレンドラボは、2014年5月、Microsoft が開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」の機能を利用し、ファイルを暗号化するランサムウェアを確認しました。この亜種は、「TROJ_POSHCODER.A」として検出されます。一般的にサイバー犯罪者や攻撃者は、感染PC 上で検知されないようにするために Windows Powershell を利用してきました。そのため、不正プログラムの検出や解析が困難でした。しかし一旦検出されると、今回の事例でもこの不正プログラムは、ハードコード化されているため、PowerShell を利用することで解析されやすくなりました。この不正プログラムの復号および解析は、特に他のランサムウェアの亜種と比べると、さほど難しくはありませんでした。
「TROJ_POSHCODER.A」は、PowerShell を利用するため、スクリプト系不正プログラムと言えます。これは、ランサムウェアでは一般的ではありません。この不正プログラムは、標準的な暗号技術「Advanced Encryption Standard(AES)」を利用し、ファイルを暗号化します。そして、公開鍵暗号「RSA4096」を利用し、自身のサーバへ AES鍵を送信します。この不正プログラムが実行されると、レジストリ値の追加、ファイルの暗号化を行い、暗号化されたファイルのファイル名を “<ファイル名>.POSHCODER” に変更します。さらにこの不正プログラムは、”UNLOCKYOURFILES.html” をすべてのフォルダに作成します。そして、感染PC 上のすべてのファイルが暗号化されると、図1 のメッセージを表示します。
 |
|
公開鍵「RSA4096」を利用し、あなたのファイルを暗号化、ロックしました。
ファイルを復号するためには:
その後、指示に従ってください。12時間以内に復号化ツールを送ります。 削除予定日の 2014年5月30日 4時59分35秒まで、復号を保証します。 |
| 図1 の日本語訳 |
ユーザが「脅迫状」に示されている指示に従うと、「Bitcoin(ビットコイン)」 のクライアントソフト「Multibit」をインストールし、1ビットコイン(BTC)を購入するよう求める図2 の画面が表示されます。Multibit をインストールすると、ユーザはビットコインウォレットのアカウントを持つことができます。ユーザがビットコインを購入すると、Eメールアドレスや BTCアドレス、ID などの情報を含むフォームを送信するよう指示されます。その後ユーザは、暗号化されたファイルを復号する復号化ツールを入手するものと思われます。
 |
「POSHCODER」ファミリの不正プログラムは、現在、英語版のみ確認されており、主に米国での被害が確認されています。
「POSHCODER」ファミリの出現で、ランサムウェアが自身の改良を続けていることが浮き彫りになりました。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Mark Joseph Manahan (Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)