電話料金の支払いを迫るランサムウェア


By アンドリュー・ブラント / Andrew Brandt

ランサムウェアは決して新しいものではありませんが、先週送られてきたウクライナ製のトロイの木馬型ランサムウェアでわかったのは、銀行などの金融サービス以外を対象とした “支払い” もあるのだということでした。当社をはじめとするウイルス対策ソフトウェア企業はこのマルウェアを Trojan-Ransom-Krotten と呼んでいます。このマルウェアに感染すると、システムは完全にロック ダウンされ、ウクライナの携帯電話事業者 Kyivstar への入金という形で金銭の支払いを要求されます。ユーザーはその額を、マルウェア開発者の口座に移さなくてはなりません。

そう、このハッカーは、自分の携帯電話の利用料金を払わせようとしているのです。

このマルウェアに乗っ取られたコンピューターは、オペレーティング システムがあの手この手でロック ダウンされます。また、レジストリ キーが変更され、Internet Explorer のタイトル バーや、デスクトップとフォルダーのあちこちに、子供じみた下品な言葉が表示されるようになります。

このようなマルウェアに金銭を支払ったら、開発者は味を占め、この手荒な犯罪をもっと続けようという思いを強めるばかりです。そしてもちろん、金銭を支払ったとしても、この下らないマルウェアでもたらされる不愉快な被害を、開発者が何らかの手段で回復してくれる保証はありません。

被害者にとって幸いなのは、このマルウェアの開発者がたいした切れ者ではないことです。我々は、このマルウェアのペイロードを簡単に割り出し、被害者のコンピューターにペイロード ファイルを入り込ませないようにするためのシグネチャを追加できました。さらには、当社などのウイルス対策ソフトウェアのベンダーが行う挙動分析をかく乱させる目的で開発者が講じた無駄な努力も明かすことができました。

問題の Krotten のサンプルは、chatadmin.exe というファイルで送られてきました。このファイルとそのペイロードを削除するためのアンチウイルスのシグネチャは、このマルウェアが初めて出現した昨年 10 月から、当社の包括的なランサムウェア定義に入っています。このファイルを詳しく分析していた研究者が、その挙動にかなり間抜けな点があることに気付き、それで私も興味を持ちました。

仮想マシン上でこのマルウェアを実行しても、そのまま終了するだけです。しかし、テスト用の物理マシンで実行すると、ペイロードが配置され、およそ 8 秒以内にマシンがロック ダウンされて、システムが再起動されます。

このマルウェアが行う処理で大きな部分を占めるのが、Windows レジストリのキーの設定です。設定されるキーの多くは、大企業のシステムをロック ダウンする目的で、システム管理者がグループ ポリシーで使用するものです。このマルウェアは、40 個以上のレジストリ キーを設定して、大半のユーザーにとって替えが利かない Windows エクスプローラーのさまざまな機能を無効にします。使えなくなる機能は、[スタート] メニューを開く、開いているウィンドウを閉じる、[ファイル名を指定して実行] ダイアログ ボックスを使用する、印刷する、ファイルを開くなど、多岐にわたります。さらにこのマルウェアは、大半のアプリケーションを実行できないようにソフトウェア制限ポリシーを設定します。アプリケーションを実行しようとすると、次のようなダイアログ ボックスが表示されます。

もう 1 つの不愉快な挙動が、ユーザー インターフェイスの変更です。このマルウェアが設定するキーの 1 つによって、Windows のシステム トレイやフォルダーの [詳細] ビューでの時刻の表示が変わります。本来は時刻が表示されるはずの箇所すべてに、ロシア語の罵り言葉が表示されるのです。

また、別のレジストリ キーによって、Internet Explorer (IE) のタイトル バーに 1 行の文字列が追加されます。汚い言葉を含む次のような内容のテキストが、IE のすべてのウィンドウの上部に表示されるようになります。

俺の (男性器) は弱り果て、(女性器) は駄目になった。(女性器) 用の刃は俺の (尻) にある。

コンピューターが再起動すると、次のようなダイアログ ボックスが表示されます。

ロシア語を話す当社エンジニアによると、おおむね次のような内容です。

データを失うことなく、金を出し惜しむことなく、コンピューターを正常な動作に戻したければ、Kyivstar の口座に 30 グリブナを入金するコードを添えたメールを、私のアドレス xxxx@xxx.xxx 宛てに送信せよ。折り返し、このプログラムをコンピューターから削除するためのファイルを 24 時間以内にメールで送付する。

グリブナはウクライナの通貨で、フリブナともいいます。30 グリブナというのは驚きの額です。本記事執筆時点で 3 ドル 94 セントにあたり、ランサムウェアにしては破格の安さです。ひょっとすると開発者は、映画「やぶれかぶれ一発勝負!!」を見た直後にこのプログラムを作成し、登場人物の新聞配達少年のような金のせびり方が妙案だと思ったのかもしれません。

また、Internet Explorer が起動されて Web サイト rotten.com が開き、イラク元大統領 Saddam Hussein の息子 Uday Hussein の遺体写真のページが表示されます。血まみれで激しく損傷した顔の写真です。もちろん、開いたウィンドウを閉じられないようにレジストリ キーが設定されているため、ユーザーはこの残酷な写真にずっと見つめられたままです。

まったく、ランサムウェアにも品格を求めたいものです。

しかし、とんだお笑い種なのは、このマルウェアを詳しく分析した結果、Sign 0f Misery (S0M) という無償ツールで開発されたらしいとわかったことです。このツールはいわば、Dell のサイトで PC を購入するときに仕様や部品を選ぶのと似た感じで、アプリケーションの処理を選んでプログラムを開発できるというものです。これは実に滑稽です。というのも、S0M で開発したプログラムは、S0M のインターフェイスに再度読み込ませれば、すべての処理手順を何の苦もなく確認できるからです。たとえば、このマルウェアの場合、作者が一種の安全機構を組み込んでいることがわかりました。 C ドライブのルートに 290564175.txt というファイルがあると、 処理を中止して終了するようになっています。

このように、S0M を使えば、プログラムの処理の流れは丸わかりです。 このマルウェアは、小さな実行可能ファイルを Temp フォルダーに配置します。これがいくつかのレジストリ キーをチェックし、Windows が仮想環境で動作しているかどうかを確認します。

このような処理を行うマルウェアは過去にも多数ありましたが、このように表の形で明示してもらえたのは初めてです。このマルウェアの作者にはお礼を言わなくてはなりません。おかげで、当社の脅威調査グループは、調査に使用する仮想マシンで修正が必要なレジストリ キーの一覧を把握できました。これには次のようなキーがあります。

HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\PTLTD_
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\IDE\DiskVirtual__HDD_[0]________________________FWR10003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\IDE\DiskVirtual_HD______________________________1._1____

これらのキーが 1 つもない場合、プログラムは次に、11 種類のウイルス対策製品の起動用レジストリ キーを削除します。さらに、6 つのセグメントに分割されている自己解凍型のアーカイブを配置して実行します。このアーカイブは、これらのセグメントを組み合わせ、さらに 5 つのペイロードを展開します。各ペイロードはそれぞれ異なる役割を担います。 たとえば、コンピューターを再起動するバッチ ファイルを配置するもの、ポリシーのレジストリ キーを設定するもの、システムを監視し、ユーザーが何らかの手段でポリシーのレジストリ キーを復元した場合に、キーを再び設定するものなどです。これらのペイロードはほとんどが Sign 0f Misery で作成されていたため、我々の調査はとても楽です。

ペイロードには autorun.inf ファイルも含まれています。これは C ドライブのルートに配置され、 起動時に悪質なペイロードを実行します。また、110 個のドメインを rotten.com にリダイレクトする Hosts ファイルも含まれています。対象は、ウイルス対策製品のベンダーが更新に使うドメイン、Web メール サービスのドメイン、およびロシアとウクライナで人気が高いと思われるその他のサイトのドメインです。

しかしここでも作者はヘマを犯しています。 この Hosts ファイルには、Virustotal へのアクセスをブロックするエントリが 2 つ記述されています。Virustotal とは、未知のファイルを複数のウイルス対策エンジンでスキャンできるというフリー サービスです。しかしこのエントリに入力ミスがあるのです。このためユーザーは、virustotal.com を参照できなくとも、ドメインの前に http://www.  と付けることで、感染した PC からでもこの貴重なサービスを利用できます。間抜けな話です。

このように舞台裏を探ることができたのは、全体としては楽しく、また勉強になりました。当社のエンジンを使うと、ファイル システムにこれらのファイルが入り込むのを防いだり、感染したコンピューターをクリーニングしたりといった対処を行えます。さらに、ある程度の技術を持つユーザーであれば、[セーフ モードとコマンド プロンプト] で起動したコンピューターから GMER などのフリーのツールを実行して、迷惑なファイルとレジストリ キーを手動で削除することもできます。

wordpress blog stats