CyberArk Softwareはこのほど、「Ransomware’s PLAYing a Broken Game」において、ランサムウェア「Play」の技術的な分析結果と、Playによって暗号化されたファイルを復元するツールについて紹介した。

  • Ransomware’s PLAYing a Broken Game

    Ransomware’s PLAYing a Broken Game

ランサムウェア「Play」の概要

ランサムウェア「Play」は高度な分析妨害技術を満載しているという。そのため、Playを分析した情報は少ないが、Playの妨害技術を分析したChuong Dong氏の記事「PLAY Ransomware | Chuong Dong」が公開されている。CyberArk Softwareはこの情報を基に、マルウェアの文字列復号化と暗号化に使用する鍵を生成する複雑なプロセスについて分析結果を解説している。その概要は次のとおり。

  • 鍵はプログラム中に埋め込まれておらず、動作中に生成する仕組みになっている
  • 鍵を生成する関数が直接呼び出されることはない。代わりに構造化例外処理(SEH: Structured Exception Handling)を使用し、故意に例外を発生させて関数を呼び出す
  • 呼び出される関数には9億回を超えるループ処理が含まれており、アンチサンドボックスとして機能すると同時に鍵を生成する処理になっている

CyberArk Softwareは鍵生成プロセス以外にもネットワークの探索や、SMB接続可能な端末の探索とデータ暗号化についても解説している。また、Playが正常に処理を完走しないことにも言及している。分析によると、Playランサムウェアはエラーコード「0xC0000005」のメモリーアクセス違反により処理を途中で終了してしまうという。しかし、その時点ですでにSMB接続先のデータと、標的のデバイスのデータの大部分は暗号化を完了している可能性が高いため、開発者は積極的に修正しなかったものと推測されている。

「Play」の緩和策

Playを使用するランサムウェアグループは標的のシステムに侵入する際、比較的新しい脆弱性と古い脆弱性を使用することがある。そのため、ソフトウェアを最新の状態に保ち、多要素認証(MFA: Multi-Factor Authentication)を導入することが有効な軽減策になるとされる。また、最小権限の原則の実施や、イミュータブルバックアップの作成も重要な対策になる。

復元ツール「White Phoenix」

Playのようにファイルの一部分のみを暗号化するランサムウェアへの対策として、CyberArk Softwareは復元ツール「White Phoenix」を「GitHub - cyberark/White-Phoenix: A tool to recover content from files encrypted with intermittent encryption」にて公開している。この復元ツールはPlayの他にも、「BlackCat/ALPHV」「Qilin/Agenda」「BianLian」「DarkBit」と呼ばれるランサムウェアに有効とされる。

復元の対象となるファイルは、PDF、文章ファイル、表計算ファイル、プレゼンテーションファイル、ZIPファイルなど一部のファイル形式に限る。また、一部データが残っていることも復元の条件となっているため、確実に復元できるわけではないことに注意が必要。

この復元ツールを使用できない、または使用したくないユーザーのために、オンラインから復元を可能とするWebサイト「White Phoenix」も公開している。機密情報を含むデータの場合はオンラインにアップロードすることは推奨されないため、GitHubにて公開されているツールを使用するべきだが、それ以外のデータについてはこのWebサイトから復元を試みることができる。