Windows Powershellを利用したランサムウェアを確認 - トレンドマイクロ

トレンドマイクロは6月3日、Windows Powershellを悪用したランサムウェアを確認したとして注意を呼びかけている。

トレンドマイクロの研究機関であるトレンドラボは、5月にMicrosoftが開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」の機能を利用して、ファイルを暗号化するランサムウェアを確認。この亜種は「TROJ_POSHCODER.A」として同社のアンチウイルスソフトで検出している。

一般的にサイバー犯罪者や攻撃者は、感染PC上で検知されないようにするためにWindows Powershellを利用しており、そのため、不正プログラムの検出や解析が困難だった。

しかし、一旦検出されると、今回の事例のように不正プログラムがハードコード化されているケースが多いため、解析しやすくなっている。この不正プログラムの復号および解析は、他のランサムウェア亜種と比べても、さほど難しくはなかったという。

「TROJ_POSHCODER.A」は、PowerShellを利用するため、スクリプト系の不正プログラムと言えるが、ランサムウェアではあまり一般的ではない。この不正プログラムは、標準的な暗号技術「Advanced Encryption Standard(AES)」を利用し、ファイルを暗号化する。そして、公開鍵暗号「RSA4096」を利用し、自身のサーバへ AES鍵を送信する。

この不正プログラムが実行されると、レジストリ値の追加やファイルの暗号化を行い、暗号化されたファイルのファイル名を"<ファイル名>.POSHCODER"に変更し、さらにこの不正プログラムは、"UNLOCKYOURFILES.html"をすべてのフォルダに作成する。そして、感染PC上のすべてのファイルが暗号化されると、「脅迫状」のようなメッセージを表示する。

ユーザーが「脅迫状」に示されている指示に従うと、「Bitcoin」のクライアントソフト「Multibit」をインストールし、1ビットコイン(BTC)を購入するよう求める画面が表示される。Multibitをインストールすると、ユーザーはビットコインウォレットのアカウントを持つことができ、ユーザーがビットコインを購入すると、EメールアドレスやBTCアドレス、IDなどの情報を含むフォームを送信するよう指示される。

その後ユーザーは、暗号化されたファイルを復号する復号化ツールを入手するものと思われる。 「POSHCODER」ファミリの不正プログラムは、現在、英語版のみ確認されており、主に米国での被害が確認されている。