ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本掲載。今回は、次の5つのランサムウェアを紹介します。
- Cryptonite ランサムウェア
- Vohuk ランサムウェア(新たな亜種)
- ScareCrow ランサムウェア
- AERST ランサムウェア
- Play ランサムウェア
それでは、各ランサムウェアの特徴について説明していきましょう。
Cryptonite ランサムウェア
Cryptoniteは「FOSS(Free and Open-Source Software)」、つまりフリーソフト/オープンソースとして配布されているランサムウェアキットです。多くのランサムウェアは犯罪組織によってアンダーグラウンドで販売されていますが、これと対照的に誰でもダウンロードして使える点が、Cryptoniteの大きな特徴だと言えます。
CryptoniteはPythonでコード化・パッケージ化されており、これを利用するには、いくつかの設定が必要です。これらの初期設定は「exeGen」というPythonスクリプトで対話的に実行できます。このスクリプトを実行するといくつかのフィールドで構成されている入力画面が表示され、必要な設定内容を入力すると実行ファイルが生成されパッケージ化されます。
このように、Cryptoniteはソースコード編集等の高いスキルを持たない人でも、簡単にランサムウェア攻撃を行えるようになっています。Pythonのようなスクリプト言語は読み書きできる人が多いため、亜種が生まれやすいという危惧もあります。
Cryptoniteは一般的なランサムウェアと同じように、感染したマシン上のファイルを暗号化します。暗号化されたファイルには、デフォルトでは「.cryptn8」という拡張子が付加されますが、設定によって拡張子が変更されている場合もあります。
すべてのファイルを暗号化すると、そのマシンのIPアドレスから所在地を特定し、被害者の詳細情報を取得して攻撃者に渡します。そして以下のように、攻撃者の詳細情報を含む身代金要求ウィンドウが、感染マシンの画面に表示されます。
被害者が攻撃者に連絡して身代金を支払った場合、この画面に入力する復号キーを入手できます。
Vohuk ランサムウェア(新たな亜種)
以前から存在していたVohukというランサムウェアの新しい亜種が発見されました。今回発見されたのはバージョン1.3です。本稿執筆時点の調査では、主にドイツとインドで感染が報告されています。
その目的は一般的なランサムウェアと同様に、感染したマシン上のファイルを暗号化し、被害者から金銭を脅し取ることです。このランサムウェアで暗号化されたファイルには「.Vohuk」という拡張子が付き、ファイルアイコンが赤いロックアイコンに置き換わります。
新しいVohukの亜種で注目したいポイントは、大きく2つあります。
1つは、各被害者に固有のIDを割り当て、そのIDを持つ電子メールで攻撃者に連絡するように求めていることです。もう1つは、感染したマシンに「ミューテックス」と呼ばれるものを残すことです。
ミューテックスとは、コンピュータがある処理を行っている間に他の処理を行わないようにロックするという、排他制御に使う仕組みです。一般的なコンピュータでは複数の処理が同時に走っていますが(マルチタスク)、同じ共有リソースを使う処理が同時に複数走ってしまうと、リソースの取り合い(競合)によって不具合が生じる危険性があります。これを回避するためのものがミューテックスです。
Vohukランサムウェアがミューテックスを残すのは、同じ種類のランサムウェアが同時に実行されないようにするためです。
このように、被害者を識別する仕組みや、実行時の競合を避ける仕組みがあることから、かなり綿密に設計されたものと推測できます。
