2016年7月19日

Ded Cryptor:オープンソース由来の欲深いランサムウェア

マルウェア 脅威

ここ最近、英語やロシア語を話す人たちが新たなランサムウェアの攻撃に晒されています。そのトロイの木馬の名前は、Ded Cryptor。2ビットコイン(約1,300ドル)もの身代金を要求する、強欲なマルウェアです。残念ながら、人質にとられたファイルを復元するためのツールはありません。

コンピューターがDed Cryptorに感染すると、デスクトップの壁紙が恐ろしげな顔をしたサンタクロースの画像に変わります。薄気味悪い画像+身代金要求、とくれば、他のランサムウェアと大して変わらないと思うかもしれませんが、Ded Cryptorには興味深い出生の秘密があります。スリラー小説と言った方が正しいでしょうか。正義の味方が悪の組織と戦い、過ちを犯し、しっぺ返しを食らう、そんな物語です。

ded-cryptor-screen-ru

ランサムウェアを皆さんに!

すべての始まりは、トルコのセキュリティエキスパートであるウトゥク・セン(Utku Sen)氏がランサムウェアを開発し、コードをオンラインに公開したことにあります。誰でもGitHub(ソースコードが公開されているWebサービス。プロジェクトのコラボレーションツールとして開発者の間で広く利用されている)からコードをダウンロードできました(コードはその後、削除。理由は後ほど)。

犯罪者向けにソースコードを無料で公開するとは、なかなか革新的なアイデアです。犯罪者は間違いなく、自分バージョンの暗号化型ランサムウェアを開発するでしょう(事実、そうなりました)。実は、ホワイトハッカーであるセン氏は、サイバーセキュリティの専門家はサイバー犯罪者の考え方を知るべき、と考えていました。もちろん、プログラミングの方法も。この一風変わったアプローチによって、正義の味方が悪の組織と効率的に戦うことができる、とセン氏は信じていました。

これより前に実施した「Hidden Tear」というランサムウェアプロジェクトも、そんなセン氏の実験の1つでした。セン氏の試みは、最初から教育と研究を目的としていました。やがて同氏はオフラインで動作する新種のランサムウェアを開発し(英語記事)、その後さらに強力なモデル、EDA2を開発しました。

EDA2は、Hidden Tearよりも強力な非対称暗号化方式を採用していました。本格的な機能を備えたC&Cサーバー(指揮統制サーバー)との通信も可能で、暗号化したキーをC&Cに送信していました。また、感染者に対しては不気味な画像を表示していました。

eda2-screenshot

EDA2のソースコードもGitHubで公開されました。ウトゥク・セン氏には多くの注目と批判が集まりましたが、それも当然です。無料でソースコードが公開されているため、まともなコーディング方法すら知らないサイバー犯罪者予備軍が、セン氏のオープンソースのランサムウェアを使って人々から大金をせしめようとしたのです。こうなることが、セン氏にはわからなかったのでしょうか。

いいえ、違います。セン氏のランサムウェアには、復号キーを取得できるようにバックドアが仕込まれていました。このランサムウェアが悪用されていることがわかったら、セン氏はC&CサーバーのURLを取得して復号キーを抽出し、被害者に渡すことができたのです。ただし、1つ問題がありました。ファイルを復号するには、被害者はセン氏のことを知っていて、復号キーを依頼する必要があったのです。ウトゥク・セン氏の名を聞いたこともない被害者が圧倒的に多いというのに。

ランサムウェア開発者に身代金を要求!

もちろん、Hidden TearやEDA2のソースコードを利用したサードーパーティの暗号化プログラムは、すぐに登場しました。セン氏はHidden Tearを利用したプログラムに対して、見事に対処しました。復号キーを公開して、被害者がキーを見つけてくれるのを待ったのです。ですが、EDA2については、首尾よくいきませんでした。

EDA2をベースとしたランサムウェア「Magic」は、そっくりオリジナルのままで、特に興味を引くようなものではありませんでした。報告を受けたセン氏は、これまでと同じように(バックドアから)復号キーを抽出しようとしました。ところが、どうしても入り口が見つからないのです。Magicを使ったサイバー犯罪者は、無料のホストをC&Cサーバーとして利用していたからです。ホスティング事業者は不正なアクティビティに関する苦情を受けた際に、犯罪者のアカウントとすべてのファイルをさくっと削除してしまいました。復号キーを取得できるチャンスは、データとともに消え去ったのです。

ded-cryptor-featured

話はこれで終わりではありません。Magicの開発者はセン氏に連絡を取りました(英語記事)。両者の話し合いは長々と続き、公のフォーラムで討論が繰り広げられました。はじめに犯罪者は、セン氏がパブリックドメインからEDA2のソースコードを削除し、さらに3ビットコインを支払うことに同意してくれたら、復号キーを公開すると持ちかけました。議論の末、両者は身代金を取引条件から外すことに同意します。

交渉はかなり面白い展開となりました。議論を見守っていた人たちは、Magicの開発者の政治的な動機を知りました。さらに、Magicのせいで生まれたばかりの赤ん坊の写真をすべて失ってしまった人の訴えをMagicの開発者が知ったとき、思わず復号キーを渡しそうになったことも。

結局、セン氏はEDA2とHidden TearのソースコードをGitHubから削除しましたが(英語記事)、「時すでに遅し」で、すでに多くの人がダウンロードしていました。2016年2月2日、Kaspersky Labエキスパートのジョーント・ファン・デア・ウィール(Jornt van der Wiel)はSecureListの記事(英語)で、Hidden TearとEDA2をベースとする暗号化型ランサムウェアは、実環境で24種存在すると述べています。以降、その数は増加する一方です。

Ded Cryptor台頭の背景

Ded Cryptorは、こうしたランサムウェアの系譜を継ぐ1つです。ソースコードはEDA2のものですが、C&Cサーバーはセキュリティと匿名性を高めるためにTorでホストされています。TorブラウザーがなくてもTorを使うことができるサービス、tor2webを介してC&Cサーバーと通信します。

Ded CryptorはGitHubに公開されたオープンソースコードの寄せ集めで作られており、ある意味、怪物のフランケンシュタインを彷彿とさせます。プロキシサーバーのコードは別のGitHub開発者から拝借したもの、そしてリクエスト送信用のコードはもともと第三者が書いたものです。このランサムウェアがちょっと変わっているのは、サーバーに直接リクエストを送信するのではなく、感染PCに設定したプロキシサーバー経由で送信する点です。

当社が把握している限り、Ded Cryptorを開発したのはロシア語話者です。理由の1つめは、身代金要求の文面が英語とロシア語しかないこと。2つめは、Kaspersky Labのシニアマルウェアアナリストであるヒョードル・シニツィン(Fedor Sinitsyn)がDed Cryptorのコードを分析したところ、ファイルパスが「C:\Users\sergey\Desktop\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb」だったこと(ちなみに、前述のMagicランサムウェアを開発したのもロシア語話者)。

残念ながら、Ded Cryptorがどのように拡散しているのか、ほとんどわかっていません。Kaspersky Security Networkによると、EDA2ベースのランサムウェアは主にロシアで活動しており、中国、ドイツ、ベトナム、インドと続きます。

JA_tear-geagraphy

さらに残念なことに、Ded Cryptorにやられたファイルを復号する方法は見つかっていません。OSが作成した可能性のあるシャドーコピーからデータの復元を試してみるのもいいでしょうが(英語記事)、事前に保護対策を講じるのが一番です。被害に遭ってから対処するよりも、感染を予防する方がはるかに簡単ですから。

カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、Hidden TearとEDA2ベースのトロイの木馬を検知名「Trojan-Ransom.MSIL.Tear」として検知し、検知した際は警告を表示します。さらに、ランサムウェアをブロックしてファイルの暗号化を食い止めます。