|
CryptoLockerはMicrosoft Windows〔が動作しているコンピュータを標的にするマルウェア(トロイの木馬)であり、2013年9月にDell SecureWorksが発見した。 感染経緯の一つとして正常な電子メール添付ファイルを装う場合がある。 感染した場合、マウントされたネットワークドライブやローカルに保存されている特定のタイプのファイルをRSA公開鍵暗号で暗号化する。 RSAの秘密鍵(復号鍵)はマルウェアのコントロールサーバーにしか保存されていない。そして、暗号化を解除してほしければ期限までに身代金(ビットコインやプリペイド決済)を要求する旨のメッセージが表示され、期限を過ぎたら秘密鍵を削除して解除不可能にすると脅迫する。また、マルウェア攻撃者が運営するオンラインサービスを経由して暗号化解除のために高額なビットコインを要求することもある。 CryptoLocker自体の除去は容易であるものの、ファイルは、研究者が解読ほぼ不可能と考えている方法で暗号化されたままとなる。 ファイルを修復する手段はなく、身代金を払う必要はないと言う人は多いが、バックアップしなかったファイルを修復するためには身代金を支払うしかないという人もいる。 それでも身代金を払ったからといって必ずしもファイルの暗号化が解除されるとは限らない。 2014年5月、CryptoLockerのネットワークがダウンし、攻撃者から被害者のデータベースが回収され、8月にはデータベースを使用することで身代金を払うことなくファイルの暗号化を復号できるようになった〔。 == 手口 == ウイルスの多くは発見したアンチウイルスメーカーによって命名されるため、企業によっては名称が異なることがある。しかしCryptolockerは命名したのは開発した攻撃者であり、感染時にその旨が表示されたり、レジストリキーにも使用されている〔。ウィルススキャンがこの名前で識別する必要はなく、例としてESETはCryptoLockerをWin32/Filecoder.BQと識別しており〔、他の同じようなマルウェアでも異なる添え字でファイルコーダー名が付けられる。他のスキャナでは他のランサムウェアと区別するためにRansomもしくはCriLockといった用語を含む名前が使われる〔。 CryptoLockerは基本的に信頼できる企業からの送信を装った見た目では害のない電子メールに添付されるファイルとして標的に送信するか、既にトロイの木馬に感染していてボットネットが動いているコンピュータに侵入する。電子メールに添付されたCryptoLockerのZIPファイルにPDFファイルを装ったファイル名とアイコンを設定した実行ファイルが格納されており、実体である.EXE拡張子を非表示にしているWindowsの設定を悪用している。いくつかの実例ではCryptoLockerがインストールされた次にというトロイの木馬に感染している〔。まずフォルダにが自身をインストールし、スタートアップで起動するためにレジストリにキーを追加する。その後、複数の指定のコマンド&コントロールサーバーの1つにアクセスを試み、一度接続したらサーバーはRSAキーペアを生成し、感染したコンピュータに公開鍵を送りつける〔。サーバーはローカルプロキシになることができ、複数の国にわたって頻繁に再配置される他のサーバーを通ることで追跡を困難にしている〔。 ペイロードは公開鍵が入ったハードディスクやにあるファイルを暗号化し、レジストリキーに各暗号化ファイルを記録している。暗号化の標的はMicrosoft Office、OpenDocument、その他ドキュメント、画像ファイル、AutoCADのファイルなど特定の拡張子を持っているデータファイルである〔。そして、ファイルを暗号化した旨のメッセージを表示し、72時間から100時間以内に400ドルかユーロを匿名のプリペイドキャッシュ支払い(例としてMoneyPakやUkash)、もしくは相応のビットコイン(当初は2BTCだったが、攻撃者がビットコインの価値変動を反映したことで0.3BTCに値下げしている)を支払うことを要求する〔、さもなければサーバーにある秘密鍵を消去することで、「ファイルを復元することは一切不可能になる」としている〔〔。もし身代金を支払った場合ユーザーの秘密鍵が事前にロードされた復号プログラムがダウンロードできるとしている〔。しかし、複数の被害者によれば身代金を攻撃者に支払ってもファイルを復号することはできなかったと述べている〔。 2013年11月、攻撃者はCryptoLockerのプログラムが無いファイルの復号化や期限が過ぎた後に復号鍵を購入できるとされるオンラインサービスを立ち上げた。24時間以内に暗号化されたファイルをサンプルとしてサイトにアップロードし、一致するものを見つけると主張、一度見つかれば、ユーザーは鍵を買うことができるが、期限が過ぎると10ビットコインに値段が跳ね上がってしまう。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「CryptoLocker」の詳細全文を読む スポンサード リンク
|