危険度を増したランサムウェア「TeslaCrypt 2.0」

ゲーム関連ファイルなどを暗号化することで知られるランサムウェアTeslaCryptの新バージョンが確認されました。ファイルの復号やC&Cサーバーの特定を防ぐ機能が実装され、さらに危険なランサムウェアとなっています。

tc_vk

サイバー犯罪者は互いに切磋琢磨しています。TeslaCryptを例にとってみましょう。これは比較的新しい系統のランサムウェアで、最初のサンプルが検知されたのは2015年2月でした。TeslaCryptの初期バージョンの主な特徴は、文書、写真、動画などの一般的なファイルだけでなく、ゲーム関連のファイルも標的にしていたことです。技術的な欠陥がいくつかあったために、発見当時はかなり弱いマルウェアでした。

マルウェア作成者は恐ろしげなRSA-2048アルゴリズムを盾に標的を脅していましたが、実際にはそれほど強力な暗号化ではありませんでした。また、暗号化プロセス中に暗号鍵が標的コンピューターのハードディスクに保存されるため、暗号化プログラムの動作を妨害して鍵を記録するか、ディスクの各領域が暗号化される前に鍵を抽出することが可能でした。

しかし、冒頭で書いたように、犯罪者は学習しています。先ごろKaspersky Labのリサーチャーによって発見された最新バージョンのTeslaCrypt 2.0には、盗んだファイルの復号と、マルウェアの指令サーバーの特定を防ぐ新機能が実装されていたのです。


第1に、高度な楕円曲線暗号化アルゴリズムが採用されました。これは、非常に厄介なランサムウェアとして有名なCTB-Lockerから取り入れた手法です。第2に、鍵の保存方法が変わり、ディスク上のファイルではなくシステムレジストリが使用されるようになりました。

第3に、ファイルの暗号化の後に表示されるWebページは、別の系統のランサムウェアであるCryptoWallから拝借したものでした。もちろん、支払い先の情報はすべて変更されていますが、残りの文章はそっくりそのままコピーされており、「販売」の観点から見ると極めて効果的です。ちなみに、身代金はかなり高額で、現在のBitcoinの為替レートでおよそ500ドルです。

tesla_crypt_en_3

TeslaCrypt系のマルウェアは、Angler、Sweet Orange、Nuclearなどのエクスプロイトキットによって拡散されることがわかっています。マルウェアの配信方法を説明しましょう。標的が感染Webサイトを訪問すると、エクスプロイトの悪質コードがブラウザー(主にプラグイン)の脆弱性を悪用し、目的のマルウェアをシステムにインストールするという仕組みです。

特に大きな被害が出ている国は、米国、ドイツ、英国、フランス、イタリア、スペインなどです。カスペルスキー製品は、TeslaCrypt系のマルウェア(今回紹介した最新バージョンを含む)を「Trojan-Ransom.Win32.Bitman」として検知します。

JA_tesla_crypt_en_12

 

TeslaCrypt、その他系統のランサムウェアへの対策として、以下をお勧めします:

  • 重要なファイルについては、定期的にバックアップコピーを作成します。コピーは外部メディアに保存し、バックアップコピーが完了したらすぐにコンピューターから取り外してください。この「取り外す」という部分が重要です。というのも、TeslaCryptや他の種類のマルウェアは、ローカルハードディスクだけでなく、ネット接続されたドライブやネットワークフォルダーも暗号化するからです。
  • ソフトウェアの更新は、提供され次第インストールすることが肝要です。特に、Webブラウザーとプラグインはすぐにアップデートしましょう。
  • 悪意あるプログラムがシステムに侵入してしまった場合は、データベースがアップデートされ、セキュリティモジュールが有効化された最新バージョンのセキュリティ製品で対処するのが一番です。
ヒント