身代金が支払われるまで人のファイルを暗号化する悪意のあるソフトウェア プログラムには、重大なエラーがあります。それは、復号キーを被害者のコンピューターに残してしまうことです。
シマンテックは、先月末に出現した「CryptoDefense」と呼ばれるプログラムを解析しました。これは、高額な身代金を要求されるまでユーザーのファイルを暗号化するマルウェアプログラムの広範なファミリーの一つであり、長年にわたり行われているものの、依然として利益を生む詐欺行為です。
ランサムウェアプログラム「CryptoDefense」は、ユーザーのファイルを暗号化し、ビットコインでの支払いを要求します。(クリックして拡大)
シマンテックは自社のブログで、CryptoDefense は Microsoft のインフラストラクチャと Windows API を使用して暗号化キーと復号化キーを生成すると述べている。
ファイルはCryptoDefenseによって2048ビットRSA鍵で暗号化されます。コンテンツの復号に必要な秘密鍵は、身代金が支払われるまで攻撃者のサーバーに送り返されます。
しかし、CryptoDefense の開発者は、秘密鍵もユーザーのコンピューター上のアプリケーション データと同じファイル フォルダーに保存されていることに気付いていなかったようです。
「攻撃者は暗号化機能の実装が不十分だったため、文字通り人質に脱出用の鍵を残していった」とシマンテックは書いている。
復号鍵は玄関マットの下に残されていたかもしれないが、CryptoDefense に感染した一般ユーザーがそれを解読できる技術的スキルを持っているかどうかは疑わしい。
CryptoDefenseは、PDF文書を装ってスパムメッセージで拡散されることが確認されています。シマンテックによると、ユーザーがインストールすると、マルウェアは4つのドメインとの通信を試み、感染マシンのプロファイルをアップロードします。
その後、ファイルを暗号化し、暗号化されたファイルと同じフォルダに、ファイルの解除方法を記した追加ファイルを挿入します。攻撃者は、匿名ツールであるTOR(The Onion Router)ネットワークを利用して、支払いを受け取るための「隠し」ウェブサイトを作成しています。
TORは、ユーザーとウェブサイト間の暗号化されたトラフィックを世界中のサーバーネットワーク経由でルーティングすることで、インターネット閲覧時のプライバシーを強化します。また、TORは、TOR対応ウェブブラウザでのみ閲覧可能な非公開ネットワーク上にウェブサイトをホストするためにも使用できます。
恐喝犯は4日以内に500ドルまたは500ユーロを要求します。被害者が期限内に支払わない場合は、身代金は2倍になります。
身代金はビットコインで支払われるため、シマンテックはブロックチェーンと呼ばれる仮想通貨の公開台帳を調べ、どれだけのビットコインが彼らの金庫に流入したかを確認した。
同社は、サイバー犯罪者がわずか1か月で34,000ドル相当のビットコインを受け取ったと推定しており、詐欺の有効性を示している。
シマンテックは、100カ国以上で11,000件のCryptoDefense感染をブロックしたと発表した。感染の試みは米国が大部分を占め、次いで英国、カナダ、オーストラリア、日本、インド、イタリア、オランダとなっている。
