CryWiper: ランサムウェアを装うワイパー

マルウェアCryWiperは、ランサムウェアのように見せかけてデータを破壊する悪質なものです。

マルウェアCryWiperは、ランサムウェアのように見せかけてデータを破壊する悪質なものです。

カスペルスキーの専門家は新しいトロイの木馬攻撃を観測し、これをCryWiperと名付けました。このマルウェアは、あたかもランサムウェアのように振る舞います。ファイルを変更し、拡張子を追加して、README.txtファイルにランサムノート(身代金を要求する通知)を保存します。ノートには、ビットコインウォレットのアドレス、マルウェア作成者の連絡先のメールアドレス、感染IDまでもが記載されています。しかし、実際にはこのマルウェアはワイパーで、感染したパソコンのデータを完全に消去してしまう悪質なものです。CryWiperが変更したファイルは、二度と元の状態には復元できません。そのため、ランサムノートがあっても、ファイルに新しい拡張子.CRYが付けられている場合は、身代金を払ってはなりません。払ったとしても決してデータは戻ってこないからです。

過去にも、作成者が暗号化アルゴリズムの実装を誤り、偶然マルウェアがワイパーになったという事例が報告されていますが、CryWiperはそれとは異なります。攻撃者は、金銭ではなく最初からデータの破壊を狙っていると専門家は語ります。ファイルは厳密には完全に暗号化されてはいません。そのため、このトロイの木馬は、擬似乱数で生成されたデータでファイルを上書きしてしまいます。

CryWiperの標的

トロイの木馬は、オペレーティングシステム(OS)の機能に影響しないデータを破壊します。拡張子が.exe、.dll、.lnk、.sys、.msiのファイルには作用せず、C:\Windowsディレクトリの複数のシステムフォルダも無視します。マルウェアが狙っているのは、データベース、アーカイブ、ユーザードキュメントです。

これまでにカスペルスキーの専門家が観測したのは、ロシア国内の標的に対するピンポイント攻撃のみです。とはいえ、これまでのケースを踏まえると、同じコードが他の標的に使用されないという保証はありません。

トロイの木馬CryWiperの仕組み

CryWiperは、ファイルを無意味なデータで直接上書きするだけでなく、以下も実行します:

  • タスクスケジューラを使ってワイパーを5分ごとに再起動させるタスクを作成する
  • 感染したコンピューターの名前をC&Cサーバーに送信し、攻撃開始コマンドを待つ
  • 次に関連するプロセスを停止する:MySQLおよびMS SQLデータベースサーバー、MS Exchangeメールサーバー、MS Active Directory Webサービス(停止しない場合はファイルに対するアクセスがブロックされ、破壊ができなくなるため)
  • ファイルを復元できないようにそのシャドウコピーを削除する(ただし、何らかの理由でC:ドライブのファイルのみ)
  • 影響を受けるシステムへのRDPリモートアクセスプロトコル経由の接続を無効にする

最後の項目については、目的がまだ明確ではありません。接続を無効化することによって、通常なら影響を受けたマシンにリモートアクセスするところを物理的なアクセスを強いることで、インシデント対応チームの手を煩わせようとした可能性はあります。攻撃に関する技術的な詳細と侵害の兆候については、Securelistの記事をご覧ください(ロシア語のみ)。

CryWiperの攻撃を防ぐには

企業のコンピューターをランサムウェアとワイパーの両方から守るために、カスペルスキーの専門家は以下の対策を推奨しています。

  • インフラストラクチャへのリモートアクセス接続を慎重に管理する。公共ネットワークからの接続を禁止して、VPNを経由したRDPアクセスのみを許可し、使い回しでない強力なパスワードと二段階認証を使用する。
  • 重要なソフトウェアは遅滞なくアップデートする。OS、セキュリティソリューション、VPNクライアント、リモートアクセスツールには特に注意を払う。
  • 目的に特化したオンラインツールを使用するなどの方法で、従業員のセキュリティ意識を高める。
  • 高度なセキュリティソリューションを導入して、作業デバイスと企業ネットワークの両方を保護する


 

ヒント