ExPetr/Petya/NotPetya:ランサムウェアではなくワイパー

6月27日から続く大規模なランサムウェア攻撃で使用されるマルウェア「ExPetr」は、ランサムウェアではなくむしろワイパーであると見受けられます。

事は2017628日付けで公された当社グロバル調査GReATによる事の日本版です

Petya/ExPetrの攻撃で使用されたマルウェアの暗号化ルーチンの分析から、私たちは、この攻撃の背後にいる犯罪者は暗号化されたディスクを復号できないと考えてきました。

この考え方は、このマルウェアによる活動が金銭的利益を求めるランサムウェア攻撃として計画されたのではない、という説を裏付けます。むしろ、このマルウェアはランサムウェアのように見せかけたワイパー(英語記事)として設計されているように見受けられます。

技術的詳細を見ていきましょう。まず、暗号化されてしまったディスクを復号するには、固有のインストールIDが必要です。

Petya、Mischa、GoldenEyeのような過去に見られた「類似の」ランサムウェアの場合、このインストールIDにはキーの復旧に不可欠な情報が含まれています。この情報を被害者から受け取ることによって、攻撃者はプライベートキーを使用して復号キーを抽出できるようになります。

ここで、ランサムウェアExPetrではどのようにインストールIDを生成するのか見てみます。

当社によるテストで生成されたインストールIDは、CryptGenRandom関数を使って作成されたものです。この関数は、基本的にランダムなデータを生成します。

以下のバッファには、ランダムに生成されたデータが「BASE58」形式でエンコードされた状態で含まれています。

このランダムに生成されたデータを、最初の画面ショットで示した最終的なインストールIDと比較してみると、同一であることがわかります。通常の手順であれば、この文字列には、復号キーの復元に使用する情報が暗号化された状態で含まれていて然るべきです。ExPetrの場合、脅迫メッセージ画面に表示されたIDは単なるランダムなデータでしかありません

つまり、被害者に対して示されたランダムな文字列では、攻撃者は復号情報を抽出できません。結果として被害者も、このインストールIDを使って暗号化されたディスクを復号することはできません。

これが意味するものは何か?第1に、被害に遭って身代金を支払ったとしても、データが戻ってくることはありません。第2に、ExPetrの攻撃が金銭目的ではなく破壊行為にある、という説の裏付けとなります。

Comae Technologiesのマット・スイーシェ(Matt Suiche)氏も、別途調査で同じ結論に至っています(英語記事)。

ヒント