Sophosブログではランサムウェアを取り上げる特集を展開しているが、今回はTeslaCryptについて見てみたい。

TeslaCryptはEccKryptとも言われるもので、一部のユーザーのファイルを暗号化し、解読に身代金を要求する。ほかのランサムウェアと同様、暗号化にはAES対称キー暗号化を利用する。

TeslaCryptは、Anglerエクスプロイトキットやその他の既知のエクスプロイトキットを経由して幅広く広がっている。Anglerを利用して、Adobe Flashの脆弱性(CVE-2015-0311)を悪用し、成功するとTeslaCryptをペイロードとしてダウンロードする。

Anglerは、感染したWebサイトから挿入されたiflame経由で悪用される。難読化コードとアンチVMテクニックを含むランディングページにリダイレクトし、アンチウイルスソフトやマルウェア解析ツールの存在を調べる。

それぞれの難読化コードに対し、同じWebページに難読解除スクリプトが含まれている。実行後、ファイルを暗号化すると、Torプロキシサーバー経由でbase-64で暗号化されたパラメーターとして詳細とともにネットワークC&Cサーバーに接続する。その後GUIウィンドウを起動、ユーザーにファイルが暗号化されたことを通知し、支払方法を表示する。

さらには、ファイルを1つだけ無料で解読するオプションも提供する。これは、すべてのファイルを復元するために支払うよう推奨するのが目的だ。支払いには、Bitcoin、PaySafeCard、Ukashなどを利用できる。GUIは英語のみで、英語以外のユーザーをターゲットとした例は、まだ確認されていないという。

TeslaCryptはCryptoWallに次いで、世界各国で被害が報告されている。

Sophosは、アンチウイルスソフトを最新のものにする以外の対策として、以下の対策を推奨している。

  • ファイルのバックアップをとる

  • Windows OSとソフトウェアを定期的に最新のものにする

  • 信頼できない電子メールのリンクや添付ファイルをクリックしない

  • 「Microsoft Office」アプリケーションのActiveXコンテンツを無効化する

  • ファイアウォールをインストールし、TorとI2Pを遮断して特定のポートを制限する

  • リモートデスクトップ接続を無効化する

  • %APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断する