Cryptowallに関する最新情報

概要

Cryptowallは、Microsoft Windowsで稼働するコンピュータを標的としてユーザーのファイルを勝手に暗号化し、復号化するための身代金を要求するランサムウェアで、その被害が広がっています。2013年9月に前身のランサムウェアが初めて登場して以来、Cryptowallはその作者に金銭的利益をもたらし続けています。この成功を受けて、現在では新たな改ざん技術が組み込まれた第4世代と思われるCryptowallが蔓延しています。

最新の身代金要求方法

以前のCryptowallとの最大の違いは、ユーザーが感染した後にドロップされるファイルと指示が書かれたメッセージです。以前は"HELP_DECRYPT"であったファイル名が"HELP_YOUR_FILES"に変更されているほか、さらに追い打ちをかけるかのように、ハッシュタグ#Cryptowallを付けてユーザーがCryptowallコミュニティの一員になったことを祝うメッセージまで記されています。


HELP_YOUR_FILES.TXT


HELP_YOUR_FILES.PNG


HELP_YOUR_FILES.HTML

痕跡を残さないCryptowall

ファイルのデータだけでなく、ファイル名も暗号化されているため、具体的にどのファイルが暗号化されたのか特定することは困難です。このため、ユーザーは重要なファイルが暗号化されてしまったのではないかと不安になり、身代金を支払う可能性が高まることになります。


暗号化されたファイル名の例

ブラックリストに記載されているキーボード言語

Cryptowallは、API GetKeyboardListを使用してキーボード言語を取得し、ハードコーディングされた値と比較します。以下のいずれかの値に該当する場合、そのコンピュータには感染しません。

CRC32ハッシュの使用

以前のCryptowall同様、最新版もハードコーディングされたCRC32ハッシュを使用して、ブラックリスト(国、ファイル名、ディレクトリ、拡張子)をチェックし、暗号化対象の拡張子を比較します。

ブラックリストに記載されている国

このマルウェアは、回避すべき国を2文字の国コードで表したリストを持っています。該当する国を以下に示します。

国コードがこれらの国と一致した場合、Cryptowallはシステムから自身の痕跡をすべて削除します。一致しない場合は、メインのペイロードへと進みます。このことから、攻撃者はこれらの国で活動していると考えられます。

ブラックリストに記載されているディレクトリ

Cryptowallは、コンピュータの通常動作を妨げる可能性がある重要なファイルを暗号化しないよう、慎重にファイルを選択します。フォルダ名が以下のいずれかに該当した場合、そのディレクトリはスキップされます。

ブラックリストに記載されているファイル名

身代金要求のメモをドロップしたCryptowallは、そのメモが暗号化されないようにします。また、一見してシステムの変化に気付かれないように偽装します。スキップされるファイル名の一部を以下に示します。

ブラックリストに記載されている拡張子

次の表は、Cryptowallによって暗号化されないファイルの拡張子のリストです。これらの拡張子は、基本的に改ざんされるとシステム動作に影響を及ぼす可能性のあるシステムファイルに関連するものです。

標的となる拡張子

Cryptowallは、以前のバージョンで312種類ほどのファイル拡張子を標的にしていました。一方、フォーティネットの調査では358種類の拡張子が標的になっていることが明らかになっています。358種類の拡張子のうち、フォーティネットが確認できた345種類を以下に示します。

c cmt grw ns4 Qbm vsd dotx cdf fdb nef
h cnv gry nwb Qbr vsx flac cdr ffd nk2
m cpi hbk nxl Qbw vtx gray cdx fff nop
ai cpp hpp nx1 Qbx wav grey cer fhd nrw
al crt ibd nx2 Qby wbk indd ce1 fla nsd
cs crw ibz nyf Raf wb2 itdb ce2 flv nsf
db cr2 idx obj Rar wdb java cfp fpx nsg
fh csh iif odb Rat wll jpeg cgm fp7 nsh
fm csl iiq odc Raw wmv kdbx cib fxg ns2
ib csv jpe odf Rdb wpd kpdx cls gdb ns3
nd dac jpg odg Rtf wps potm sxg cdr5 design
pl dbf kc2 odm Rwl xis potx sxi cdr6 laccdb
ps dbr kdc odp Rwz xla ppam sxm craw psafe3
py dbs key ods rw2 xlb ppsm sxw ddoc sas7bdat
rm db3 lua odt r3d xlc ppsx tex ddrw pspimage
7z dcr maf oil Say xlk pptm tga djvu st8
ab4 dcs mam one Sda xll pptx thm docb svg
ach dcx maq orf Sdf xlm sldm tlg docm swf
acr dc2 mar otg sd0 xlr sldx txt docx sxc
act ddd maw oth sl2 xls s3db vob dotm sxd
adb dds max otp Snp xlt vsdx prf 3g2 accdu
ads der mdb ots Sql xlw xlam psd 3pr blend
ait des mdc ott Srf xpp xlsb ptx agdl class
apj dgc mde pas Srt xsn xlsm pub back ibank
arw dng mdf pat Srw x11 xlsx puz bank pages
asf doc mdt pbo sr2 x3f xltm p12 cdrw rpmsg
asm dot mef pcd Stc yuv xltx p7b cdr3 xllsx
asp drf mfw pct Std zip accdb p7c cdr4 backup
asx drw mmw pdb Sti 3dm accde qba 3fr accdr
avi dtd mos pdd Stw 3ds accdp qbb 3gp accdt
Awg dwg mov pdf Stx bik edb mrw Pip  
Bak dxb mpg pef st4 bkf eml mso Plc  
Bay dxf mpp pem st5 bkp eps myd Pot  
Bdb dxg mp3 pfx st6 bpw erf m4v Pps  
Bgt ebd mp4 php st7 cdb exf ndd Ppt  

続いて、Cryptowallはシステムのファイルを列挙します。ブラックリストとの比較が完了し、列挙したファイルが標的拡張子のいずれかと一致していた場合には、そのファイルの暗号化を実行します。

C&Cサーバーとの通信

前身のランサムウェアと同様、C&Cサーバーとのすべての通信でRC4暗号化が用いられます。C&Cサーバーのリストは、ハードコーディングされた短い鍵を使用して復号されます。一方、サーバーに送信される暗号化されたメッセージでは、Cryptowallによって生成されたRC4鍵が使用されます。


C&Cサーバーに送信される暗号化メッセージの例

FortiGuard Labsの分析によって、上記の例の接続先であるC&Cドメインを特定することに成功しました。特定したドメインのリストは、以下をご覧ください。

まとめ

本記事でハイライト表示した最新のコードからは、Cryptowallのオペレータが実環境で生き残り、今後も利益を得ようとする決意が読み取れます。犯人が逮捕されない限り、本記事で紹介した亜種の新しいファイル名改ざん機能のように、Cryptowallは今後も効果的に恐喝できるよう更新され続けることが懸念されます。

フォーティネットは、Cyber Threat Alliance(CTA)と連携し、この大きな脅威の動向を引き続き監視していきます。

-=Fortiguard Lion Team=-

C&Cドメインのリスト


C&Cサーバーに送信される暗号化メッセージの例

関連ファイルのハッシュ:
e73806e3f41f61e7c7a364625cd58f65 - W32/Cryptodef.AAOJ!tr
50b965686ad2cbdc0066e870a928177e -W32/Agent.1F56!tr