メニュー

ランサムウェア CRYPTOLDESH に感染してみました。

2016年4月6日 - malware
ランサムウェア CRYPTOLDESH に感染してみました。

本日、知人から本文に
「こんにちは!添付ファイルになたの配信アドレスを確認してださい! 」
と書かれた日本語のバラマキ型メールを提供していただきました。
そちらのメールをきっかけに調査しましたのでそちらの内容を共有します。

 

いただいたメールは下図の通りのものでした。
mail

添付ファイルについての情報は以下の表の通りです。

ファイル名 MD5 SHA1
追跡番号_pwaczs.zip 3177e2367da218af0a71b9bd8646ef9e 25ec26374d7bfbf07a9e6c545996c8253f8f800e

また、この添付ファイルの中にあるファイルについての情報は以下の表の通りです。

ファイル名 MD5 SHA1 通信先ドメイン
追跡番号_4455887213100_JAPANPOST (2).js 639474080e29801675e74c5339b6a1f5 106d6be5cf84685e8d15cf417963593d60f71a3f hangkimkhi.com

このJavaScriptファイルを実行すると通信先ドメインからマルウェア本体をダウンロードし感染活動を行うようです。
マルウェア本体の情報は以下の通りです。

ファイル名 MD5 SHA1 通信先ドメイン
3789.60 5d543cb856073fc4ca3d7839a049d5b5 02b75e6ac19fad5f05690ec4900c6f50510cf312 champagnejacquesbusin.com (http)
eyqqtz.com (http)
tor-relay1.arbitrary.ch (ssh)

上記ファイルに感染すると下図のような状態となります。
暗号化されたファイルの拡張子は[.better_call_saul]に変更されます。
「Better Call Saul」とはアメリカのテレビドラマシリーズの名前のようです。
infected

完全画面が知らせているREADME.txtはREADME1.txtからREADME10.txtと10個内容が同じファイルがデスクトップに作成されます。10個のファイルが作成されるのは同名のファイルがすでに存在する場合のことを考慮しているのかもしれません。README.txtの内容は以下の通りです。
readme

記載されているURLにアクセスすると下図のようなページが表示されました。
onionsite

復号するにはサイト内に書かれてあるメールアドレスに連絡する必要があるようです。

 

【ランサムウェアの考えられる対策】
もちろん、ウイルス対策ソフトで感染を防ぐことができればいいのですが、どうしても検知できない可能性はついて回ります。ウイルス対策ソフトの話になるとついて回るのがどこのウイルス対策ソフトだと検知できた。できなかった。というお話しです。しかし、今回検知したからといって次回以降検知できる保証はどこにもありません。ですので、検知しない可能性を常に考えておく必要はあると思っています。ウイルス対策ソフトをどこのものを使用するかといったことよりもまず、自身のシステムに内在する脆弱性を解消しておくことのほうが先決であると思います。今回のウイルスがどういった経路で感染したかは分かりませんが、Webのアクセスにより感染したというのであればブラウザやそのプラグインであるFlashなどが古いことにより攻撃を受け、感染してしまうというケースは十分に考えられます。怪しいサイトには近寄らないということだけでは防ぐことのできない攻撃もあります。不正な広告や水飲み場のような攻撃です。そういったものを避けることが難しくなってきている以上は自身のシステムに内在する脆弱性を解消し、そういったサイトにアクセスしても大丈夫な状態にしておくことを強くお勧めします。

しかし、それでも添付ファイルを実行してしまったり、未解消の脆弱性やゼロデイを受けてしまい感染することが避けられないケースがあります。そういったときのために可能な限り短い間隔で自身のファイルのバックアップを取得しておくことも併せて行っておく必要があると思います。この場合には感染する端末がアクセス可能な場所、例えば、ファイルサーバなどに置いていては暗号化されてしまう可能性が大ですので、お勧めはできません。企業内であればクライアントコンピュータからアクセスできないところにバックアップを取るようにし、個人であればクラウドに保存するか物理的にDVDなどのメディアに保存することをお勧めします。
そうしていれば金銭を支払わずともある程度の復旧が可能となります。

上記のことを実施しておらず、感染を許してしまった場合は攻撃者に金銭を支払うという選択肢しか残されていないということとなります。
もちろん、攻撃者に金銭を支払うことは決して推奨されるようなことではありません。
しかし、支払う金額と自身のシステム内にあるファイルの価値を天秤にかけ後者が大きく勝るようであれば金銭を支払うという選択肢を選ばざるをえない場合もあると個人的には考えています。

タグ: