CryWiper: ランサムウェアを装うワイパー

マルウェアCryWiperは、ランサムウェアのように見せかけてデータを破壊する悪質なものです。

マルウェアCryWiperは、ランサムウェアのように見せかけてデータを破壊する悪質なものです。

カスペルスキーの専門家は新しいトロイの木馬攻撃を観測し、これをCryWiperと名付けました。このマルウェアは、あたかもランサムウェアのように振る舞います。ファイルを変更し、拡張子を追加して、README.txtファイルにランサムノート(身代金を要求する通知)を保存します。ノートには、ビットコインウォレットのアドレス、マルウェア作成者の連絡先のメールアドレス、感染IDまでもが記載されています。しかし、実際にはこのマルウェアはワイパーで、感染したパソコンのデータを完全に消去してしまう悪質なものです。CryWiperが変更したファイルは、二度と元の状態には復元できません。そのため、ランサムノートがあっても、ファイルに新しい拡張子.CRYが付けられている場合は、身代金を払ってはなりません。払ったとしても決してデータは戻ってこないからです。

過去にも、作成者が暗号化アルゴリズムの実装を誤り、偶然マルウェアがワイパーになったという事例が報告されていますが、CryWiperはそれとは異なります。攻撃者は、金銭ではなく最初からデータの破壊を狙っていると専門家は語ります。ファイルは厳密には完全に暗号化されてはいません。そのため、このトロイの木馬は、擬似乱数で生成されたデータでファイルを上書きしてしまいます。

CryWiperの標的

トロイの木馬は、オペレーティングシステム(OS)の機能に影響しないデータを破壊します。拡張子が.exe、.dll、.lnk、.sys、.msiのファイルには作用せず、C:\Windowsディレクトリの複数のシステムフォルダも無視します。マルウェアが狙っているのは、データベース、アーカイブ、ユーザードキュメントです。

これまでにカスペルスキーの専門家が観測したのは、ロシア国内の標的に対するピンポイント攻撃のみです。とはいえ、これまでのケースを踏まえると、同じコードが他の標的に使用されないという保証はありません。

トロイの木馬CryWiperの仕組み

CryWiperは、ファイルを無意味なデータで直接上書きするだけでなく、以下も実行します:

  • タスクスケジューラを使ってワイパーを5分ごとに再起動させるタスクを作成する
  • 感染したコンピューターの名前をC&Cサーバーに送信し、攻撃開始コマンドを待つ
  • 次に関連するプロセスを停止する:MySQLおよびMS SQLデータベースサーバー、MS Exchangeメールサーバー、MS Active Directory Webサービス(停止しない場合はファイルに対するアクセスがブロックされ、破壊ができなくなるため)
  • ファイルを復元できないようにそのシャドウコピーを削除する(ただし、何らかの理由でC:ドライブのファイルのみ)
  • 影響を受けるシステムへのRDPリモートアクセスプロトコル経由の接続を無効にする

最後の項目については、目的がまだ明確ではありません。接続を無効化することによって、通常なら影響を受けたマシンにリモートアクセスするところを物理的なアクセスを強いることで、インシデント対応チームの手を煩わせようとした可能性はあります。攻撃に関する技術的な詳細と侵害の兆候については、Securelistの記事をご覧ください(ロシア語のみ)。

CryWiperの攻撃を防ぐには

企業のコンピューターをランサムウェアとワイパーの両方から守るために、カスペルスキーの専門家は以下の対策を推奨しています。

  • インフラストラクチャへのリモートアクセス接続を慎重に管理する。公共ネットワークからの接続を禁止して、VPNを経由したRDPアクセスのみを許可し、使い回しでない強力なパスワードと二段階認証を使用する。
  • 重要なソフトウェアは遅滞なくアップデートする。OS、セキュリティソリューション、VPNクライアント、リモートアクセスツールには特に注意を払う。
  • 目的に特化したオンラインツールを使用するなどの方法で、従業員のセキュリティ意識を高める。
  • 高度なセキュリティソリューションを導入して、作業デバイスと企業ネットワークの両方を保護する


 

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?