"Pyschedelic" ランサムウェア

このランサムウェアは、一般的なランサムウェアと同様に、ターゲットのマシン上のファイルを暗号化し、身代金要求のノート(テキストファイル)を残します。このノートには、暗号化は「未知のアルゴリズム」で行われていると記載され、復号したければ電子メールで攻撃者に連絡するよう要求します。

しかしFortiGuard Labsが調べたところ、このランサムウェアはWindowsの「certutil -encode」コマンドを使用して、ファイルを暗号化していることが判明しています。つまり「未知のアルゴリズム」などではなく、すでに広く使われているアルゴリズムが使用されているのです。

身代金は150ドルと、ランサムウェアとしては低額と言えます。そのためターゲットは企業ではなく、一般消費者ではないかと推測できます。

なおランサムウェア名を"Pyschedelic" と“”付きで表記しているのは、これが「Psychedelic(サイケデリック:麻薬などがもたらす幻覚のこと)」のスペル違い(スペルミス?)となっているからです。もちろんこの名前は、攻撃者自身がつけたものです。いったいどのような意図があるのでしょうか?

Inlock ランサムウェア

このランサムウェアも、ファイルを暗号化して身代金を要求するという、典型的なランサムウェアです。暗号化されたファイルには「.inlock」というファイル拡張子が付けられ、「READ_IT.txt」というスペイン語で記載された身代金要求のメモが残されます。その内容を日本語に訳すと、以下のようになります。

あなたのコンピューターは暗号化されました!! 非常に残念なことに、あなたはサイバー攻撃のターゲットになっています。あなたの個人データはすべて暗号化されています。身代金の交渉のために私に連絡してください。お支払いを確認次第、すべてのファイルを復号するためのツールを送らせていただきます。あなたが大きな価値のあるものを何も持っていないことを願っています ;) なお、以下のコードをなくさないようにしてください。さもないと二度とデータを復元することができなくなります。

デスクトップの壁紙も、以下のように変更されます。

  • Inlock ランサムウェアに感染すると、変更される壁紙 資料:フォーティネット

このランサムウェアの最大の問題は、攻撃者の連絡先が記載されていないことです。そのため、被害者は攻撃者に連絡できず、復号ツールを入手することもできません。また、ボリュームシャドーコピーも削除されるため、ファイルの復元はほぼ絶望的と言えます。

Xoristランサムウェアの新しい亜種

このランサムウェアはRaaS(Ransomware as a Service)によって提供されている、トロイの木馬型のランサムウェアファミリーです。RaaSとは、ランサムウェアの亜種を提供するサービスのことであり、その存在はランサムウェア攻撃が、すでに1つのビジネスモデルになっていることを示しています。亜種の提供形態としては、以前からある「販売モデル」だけではなく、収益の一部をRaaSと分かち合う「アフィリエイト型」も存在します。

Xoristランサムウェアは2016年には発見され、すでに6年もの間、存在しています。今回の亜種がどのようにターゲットに配布されているのか、まだ正確にはわかっていませんが、いくつかの手がかりはあります。

まず、実行ファイルの名前に「キューバ共和国の大統領および副大統領の法律」という意味の文字列が使われ、関連するサンプルも主にキューバから、2022年10月31日に「Virus Total」へと提出されています。Virus Totalとは、マルウェア検査のためのオンラインスキャンを行うWebサイトであり、ここにファイルやサイトのURLをアップロード(提出)することで、そこにマルウェアが含まれているかどうかを検証できます。

興味深いのは、Virus Totalから提出されたファイルの中に、前述の実行ファイルと同名のPDFファイルがあったことです。このPDFファイルには「キューバ共和国官報」と記載されており、マルウェアを含まない「良性の」ものでした。

つまり攻撃者は、キューバ政府発行の正規ファイルに見せかけた良性のPDFファイルと、ランサムウェア実行のためのファイルを同じ名前で拡散し、ターゲットをだましやすくすることを狙ったと考えられます。

なお、身代金は100ドルに設定されており、企業ではなく一般消費者がターゲットになっていることが推測されます。またInlockランサムウェアと同様に、デスクトップの壁紙も変更されます。その壁紙には攻撃者のビットコインウォレットのアドレスが記載されたQRコードが記載されていますが、2022年11月時点ではまだ1件の取引も記録されていませんでした。

これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。

FBIランサムウェアの亜種、The Wise Guys、Pyschedelic

「Ransomware Roundup:新型FBI、Wise Guys、「Pyschedelic」ランサムウェア」(Shunichi Imano and James Slaughter、2022年10月27日)

Inlock、Xoristの新しい亜種

「Ransomware Roundup:InlockおよびXoristの新型亜種」(Shunichi Imano and James Slaughter、2022年11月10日)

著者プロフィール


フォーティネットジャパン 寺下 健一(チーフセキュリティストラテジスト)、今野 俊一(上級研究員)、James Slaughter(Fortinet Senior Threat Intelligence Engineer)