トレンドマイクロは、2016年9月初旬、ハードドライブをロックする身代金要求型不正プログラム(ランサムウェア)HDDCryptor」ファミリーの調査中、特徴的な動作を示す亜種(「RANSOM_HDDCRYPTOR.A」として検出対応)を確認しました。

そして「HDDCryptor」の新しい亜種(「RANSOM_HDDCRYPTOR.F」として検出対応)は、以前の亜種の特徴を多く備えているものの、初期解析で圧縮方法の相違が判明しました。「HDDCryptor」の最初の亜種と同じく、この新亜種も同種のコンポーネントを作成しますが、作成場所はフォルダ(<システムのルート(通常C:ドライブ)>\Users\ABCD)と異なっていました。PCが再起動されると、ディスクドライブのファイルが暗号化され、その後、画面上にPC感染をユーザに知らせる脅迫状が表示されます。

なお、この亜種が同ファミリーの改良バージョンなのか、従来型から作成されたものに過ぎないかについては、収集された検体のさらなる解析を実施しています。

以下は、2016年10月第4週に確認された注目すべきランサムウェアのファミリーです。

  • ENIGMA 2
      「ENIGMA」が2016年5月に初めて確認された際、このランサムウェアはロシア語を理解するユーザを攻撃対象としていました。そして今回、新たな亜種「ENIGMA 2」(「RANSOM_ENIGMA.B」として検出対応)がセキュリティリサーチャーグループ「MalwareHunterTeam」に確認されました。この新亜種も、ロシア語の脅迫状を利用し、暗号化方式AESでファイルを暗号化していました。暗号化が完了すると、ファイルの拡張子に「.1txt」が追加されます。

      そして身代金0.4273ビットコイン(2016年11月10日のレートで約3万2千円)を要求しますが、ファイル1つだけ事前に無料で復号されます。これは、身代金さえ支払えばファイルが正しく復号されるとユーザに思わせるための手法だと考えられます。指定された期限内に支払われない場合、身代金が25%増額されます。

  • SHOR7CUT
      セキュリティ企業「Fortinet」のリサーチャーにより、サーバ側のファイルを暗号化するランサムウェアが確認されました。このランサムウェアは、オープンソースのPHPで記述されていました。ソフトウェアの情報提供サイト「Softpedia」によると、開発者はShorTcut(別名Shor7cut)と名乗るインドネシア人で、サイバー犯罪者グループ「Indonesia Defacer Tersakiti」の一員でもあり、以前改ざんしたWebサイトで自身が開発したこのPHPベースのランサムウェアを提供していました。

      当初、このランサムウェアは「JapanLocker」の名称で知られ、ShorTcutが侵入したWebサーバ内で拡散させていました。そしてさらなる解析により、ShorTcutが作成したオープンソースのコード「shc Ransomware」や「SyNcryption」の存在が確認され、このランサムウェアに彼の名前が付与されるに至りました(弊社では「RANSOM_SHOR7CUT.A」として検出対応)。

      このランサムウェアは、「Base64エンコード」「ROT13」「上下置き換え」などの方式を組み合わせてファイルを暗号化します。このランサムウェアを拡散するためには、Webサーバに侵入してインストーラを実行する必要があります。ShorTcutの過去の不正活動、特にハッキングフォーラムで彼が共有していたエクスプロイトキットや自作ソースコードを調査したところ、ソースコードにFacebookへのURLも含まれていました。このFacebookページでは、ジャカルタ拠点IT企業のサービスが宣伝されていました。

  • NUKE
      最近確認されたランサムウェア「Nuke」(「RANSOM_NUCLEAR.F116JD」として検出対応)は、標的としたPCのファイルをRSAアルゴリズムの暗号化でロックし、さらにファイル名をランダムな文字列で改称した上で拡張子「.0x5bm」または「.nuclear55」を追加します。暗号化後、このランサムウェアは、テキストファイルとHTMLファイルの2つの脅迫状を作成し、ディスクトップの壁紙を置き換えます。

      脅迫状では、0.5から1.5ビットコイン(約3万8千円から約11万5千円)を96時間以内に支払うよう要求しています。しかし支払方法や支払いに関するページは記載されておらず、ユーザが連絡を取ることができるEメールアドレスだけが提供されます。そして暗号化されたファイルを1つだけメールに添付できます。これは、他のランサムウェアと同様、このランサムウェアのサイバー犯罪者も、ファイル1つだけを無料で復号し、身代金さえ支払えばファイルが正しく復号されるとユーザに思わせるための手法だと考えられます。

  • FAKELOCK
      2016年10月中旬、画面ロック機能を備えた新たなランサムウェアが確認されました。このランサムウェア(「RANSOM_FAKELOCK.F」として検出対応)は、インターネット上で違法な活動をして逮捕されるとユーザを思い込ませ、「著作権を有する性的動画、ソフトウェア、音楽をダウンロードして、インターネット上に投稿した」として警告します。そしてPCのロック解除のため、金融サービス「Green Dot Corporation社」提供のプリペイドカード「Moneypak」を利用して200米ドル(約21万円)を支払うよう要求します。ただし、「解除(Unlock)」ボタンをクリックすると、再確認することなくプロセスが終了します。

サイバー犯罪者が利用する多くの手法を理解することは、ランサムウェア感染を防ぐ上での最善策ともなります。ランサムウェアに対する多層防御は、PCやネットワーク内の侵入経路を保護する上でも重要です。そしてバックアップを徹底することでランサムウェア感染時の被害を軽減できます。

■ランサムウェア対策
トレンドマイクロは、企業や中小企業および個人ユーザそれぞれに、暗号化型ランサムウェアによる被害を最小にするための対策を提供します。

企業ユーザは、これらの脅威によるリスク軽減のために、多層的かつ段階的な対策を取ることができます。メール攻撃対策製品「Deep Discovery™ Email Inspector」および Webゲートウェイ対策製品「InterScan Web Security」は、ランサムウェアを検出し、進入を防ぎます。「ウイルスバスター コーポレートエディション」のようなエンドポイント製品は、挙動監視機能(不正変更監視機能)の強化やアプリケーションコントロール、および脆弱性シールド機能により、脅威による影響を最小にすることができます。ネットワーク型対策製品「Deep Discovery™ Inspector」は、「文書脆弱性攻撃コード検出を行うエンジン(Advanced Threat Scan Engine、ATSE)」などによりランサムウェア脅威を警告します。サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は仮想化・クラウド・物理環境にまたがって、ランサムウェアがサーバに侵入することを防ぎます。

トレンドマイクロの中小企業向けクラウド型のエンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」は、「FRS」技術によりウイルス検出を行っています。また同時に、これらのエンドポイント製品では挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。

トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。