今週のお役立ち情報
【セキュリティ魂】身代金を要求するマルウエア「ファイルを救いたければ$200払え!」
2008年07月07日10時00分 / 提供:ネットセキュリティ
Ransomware、つまり”身代金ウエア”のGpcodeが流行したのは、2005年のことだった。このランサムウエアがよりいっそう強力になって復活、流行しており、「ファイルを人質にとるマルウエアの復活」というヘッドラインで、すでにニュースになっている。このトロイの木馬を最初に発見・報告した、ロシアのカスペルスキー社の上級ウイルス研究員、Vitaliy Kamlyuk氏にスカイプでインタビューを実施したので紹介しよう。なお、このトロイの木馬はGpcode.akと命名されている。
Gpcode.akは、ファイルサイズ8030byteのWindowsのPE EXEファイルで、一度ユーザーのPCに入ると、ディスクをスキャンし、Windowsに組み込まれているMicrosoft Enhanced Cryptographic Provider を使い、.jpg、.txt、.vcf、 .lzhなど、全部で140種類以上のファイルをRSA-1024で次々に暗号化する。例えば、GPcode.akは、abc.txtというファイルを暗号化してabc.txt_CRYPTという新しいファイルを作り、オリジナルのabc.txtをデリートする。これにより、ユーザーがabc.txtを再び見ることは不可能となる。この暗号化攻撃の対象とならないのは、program dirにあるファイル、systemファイルとhiddenファイル、10bytes以下のファイル及び734,003,200byte以上のファイルだ。
また同時に、GPcode.akは、全てのディレクトリーに「キミのファイルはRSA-1024アルゴリズムで暗号化された。ファイルをリカバリしたければ、ディクリプターを購入する必要がある。購入にはxxxx.yahoo.comまで連絡を」と書かれた「!_READ_ME_!.txt」という名前のテキストファイルを挿入する。そして、写真のようなポップアップで警告を行う。作者はデクリプター・ソフトの代金として「$50〜$200」を要求しているそうだ。
・https://www.netsecurity.ne.jp/images/article/ransomware01.jpg
さて、このポップアップを万が一自分のスクリーンで目にした場合、undeleteなどのユーティリティーを使ってオリジナルをリカバリーするために、一般ユーザーには「PCをリブートしたり、電源オフしないように」と指示している。しかし、パワーユーザーならば、即座にhardware power-offを行い、CD(DVD)からリブートし、ファイルリカバリーを行うことができる。
このGpcode.akの以前のバージョンでは、660bit長のRSAキーを使って暗号化を行い、そして「!_READ_ME_!.txt」の代わりに 「!_Vnimanie_!.txt」(ロシア語でattensionの意味)という名前のファイルを挿入したため、ロシアが発祥地だと推測されていた。このバージョンのGpcodeは2006年の6月に、キーの長さが短かったこと、自家製の暗号アルゴリズムを使っており、その実行方法にエラーが存在したことを目に付けたカスペルスキーの研究者がその秘密鍵を入手し、クラッキングに成功している。
今回のGpcode.akは、1024bitのキーを使ったRSA暗号化アルゴリズムが使用され、更に、一度暗号化が終わるとVBSファイルを作ってウイルスの本体をデリートしてしまうことなど、より”強力”になっている。特に本体を自分でデリートすることからコードのサンプル集めには手間取ったらしく、「アルジェリア、フランス、ルーマニア、インド、ロシアなど、世界中でこのトロイの木馬のサンプルを探したが、やっとのことキエフ(ウクライナ)で実際のコードを見つけることができた」と、Kamlyuk氏は言っている。また、「現在のところ、どのような方法で流行するかは分かっていないが、ウエブかスパムというのが有力だ。現在はウイルスとカテゴライズされているが、性質としてはトロイの木馬であり、一度”感染”したマシンから他のマシンへの二次感染はないことが分かっている。」とも言っている。
さて、RSA-1024もの長さの鍵となると、複合化には、CPUクロック2〜3GHzのPC1,500万台で1年かかることから、カスペルスキーではそのブログで、「暗号学者、政府関連者、科学者、化学組織、アンチ・ウイルス企業、インデペンデントの研究者たちよ、Gpcodeの阻止に強力して欲しい。」と、以下の二つの鍵を発表してその因数分解への協力を呼びかけている。
・http://www.viruslist.com/en/weblog?weblogid=208187528
それだけでなく、カスペルスキーではGpcode専用のフォーラムも立ち上げた。
・http://forum.kaspersky.com/index.php?showforum=90
フォーラムではいろいろなアイデアが寄せられている。例えば「hiddenファイルを暗号化しないのなら、全てのファイルをhiddenにしてしまえばいい」「オリジナルを新しいファイルに暗号化してからオリジナルをデリートするのなら、ルートキットか何かを作ってこれができないようにすればいい」「Gpcodeが暗号化する最大ぎりぎりのテキストファイルのバックアップを使って、バックアップ・ファイルをその暗号化されたバージョンでもってxoringし、暗号化ストリームを計算する」「ウイルスの作者からディクリプターを”買って”それをリバース・エンジニアすればいい」「Boinc (boinc.berkeley.edu)を使えばいい(BOINCは世界最大のディストリビューテッド・コンピュータ・ネットワーク)」などの意見が寄せられており、中でもジョークで、「botnetを構築するウイルスを作成してばら撒いて、そのbotnetに解読させればいい」などというのもある。
ブルートフォースするのは現実的ではないが、Kamlyuk氏は「現在カスペルスキーは米国のMITと協力してリカバリー・ツールを開発して」おり、また、「犯人がyahooのメールアカウントを使っているが、yahooのポリシーでアカウント所持者の情報は公開しないことになっているから、犯人を追跡する調査には時間がかかる」と言っている。
万が一感染した場合は、即座に stopgpcode@kaspersky.com に連絡し、感染前にそのPCで行ったことをできる限り細かく説明するように、ということだ。
【速報】
Gpcode対策を調査していたカスペルスキーのVitaliy Kamlyukから、モスクワ時間6月13日深夜2時20分に、筆者にスカイプが入った。
「Gpcodeで暗号化されたファイルををデクリプトして元に戻すことはできないが、Gpcodeがファイルを暗号化する方法に目をつけ、被害にあった人が、自分で、無料でファイルをリカバリできる最適の方法が分かった」ということだ。
アップデートされたKamlyuk氏のウエブログに仔細があるが、世界中で被害にあった人たちに「いろいろなユーティリティを使ってファイルを復元するように指示してきたが、ほとんどのユーティリティはシェアウエアなのが難点」だった。Kamlyuk氏のチームでは、「Ontrack Easy Recovery、Winternals Disk Commander、Active Partition Recovery、Active Uneraser、File Undeleteなどを含む多数のユーティリティをテストし、PhotoRecというユーティリティが、このタスクに最適」との結論を出した。PhotoRecはGeneral Public License (GPL)で発表されているフリーウエアだ。
・Kamlyuk氏のウエブログ
・PhotoRec
「Gpcodeでは、ファイルを暗号化するのに、ターゲットファイルの暗号化バージョンを作成してから、次にオリジナルのファイルをデリートするという手順をとっているため、このオリジナルのファイルをリカバリするのが、身代金を払わずにデータをリカバリできる一番の方法だ」とは納得。「PhotoRecは、間違ってデリートしてしまった写真ファイルなどをリカバリするのを目的で作成されているが、その他のファイルのリカバリにも優れている」そうだ。唯一の難点が、「ファイルのパスやファイル名はリストアできない」こと。そこでKamlyuk氏はフリーのユーティリティー、StopGpcodeを作成し、ファイル・リカバリの手順をチュートリアルにまとめている。StopGpcodeは、Gpcodeが暗号化したファイルのサイズと、PhotoRecがリカバリしたサイズなどを比べて、正しいディレクトリ名とファイル名を推測して、ファイルを元のディレクトリー名のついたディレクトリーにソートしてくれる。
・ファイル・リカバリのチュートリアル
Gpcodeがファイルの暗号化をするのは阻止できないが、チュートリアルを読めば、誰もが無料でファイルをリカバリできるため、現実問題としてはこれでGpcodeは中和されたと言ってよいだろう。
Kamlyuk氏は、「Gpcodeの作者に”身代金”を払うかわりに、PhotoRecの作者に寄付をしてあげて欲しい」と言っている。
執筆:米国 笠原利香
■こちらもオススメ!【セキュリティ魂】
・ハッキング大学生と結びつく韓国セキュリティ業界
・あきれた性犯罪者リスト漏えい事件
・ハッキングの餌食となったATM
・アンチウイルスソフトの選び方
・優勝賞金は400万円!韓国ハッキングコンテスト
・【セキュリティ魂】バックナンバー
Gpcode.akは、ファイルサイズ8030byteのWindowsのPE EXEファイルで、一度ユーザーのPCに入ると、ディスクをスキャンし、Windowsに組み込まれているMicrosoft Enhanced Cryptographic Provider を使い、.jpg、.txt、.vcf、 .lzhなど、全部で140種類以上のファイルをRSA-1024で次々に暗号化する。例えば、GPcode.akは、abc.txtというファイルを暗号化してabc.txt_CRYPTという新しいファイルを作り、オリジナルのabc.txtをデリートする。これにより、ユーザーがabc.txtを再び見ることは不可能となる。この暗号化攻撃の対象とならないのは、program dirにあるファイル、systemファイルとhiddenファイル、10bytes以下のファイル及び734,003,200byte以上のファイルだ。
また同時に、GPcode.akは、全てのディレクトリーに「キミのファイルはRSA-1024アルゴリズムで暗号化された。ファイルをリカバリしたければ、ディクリプターを購入する必要がある。購入にはxxxx.yahoo.comまで連絡を」と書かれた「!_READ_ME_!.txt」という名前のテキストファイルを挿入する。そして、写真のようなポップアップで警告を行う。作者はデクリプター・ソフトの代金として「$50〜$200」を要求しているそうだ。
| 図:ポップアップによる警告 |
・https://www.netsecurity.ne.jp/images/article/ransomware01.jpg
さて、このポップアップを万が一自分のスクリーンで目にした場合、undeleteなどのユーティリティーを使ってオリジナルをリカバリーするために、一般ユーザーには「PCをリブートしたり、電源オフしないように」と指示している。しかし、パワーユーザーならば、即座にhardware power-offを行い、CD(DVD)からリブートし、ファイルリカバリーを行うことができる。
このGpcode.akの以前のバージョンでは、660bit長のRSAキーを使って暗号化を行い、そして「!_READ_ME_!.txt」の代わりに 「!_Vnimanie_!.txt」(ロシア語でattensionの意味)という名前のファイルを挿入したため、ロシアが発祥地だと推測されていた。このバージョンのGpcodeは2006年の6月に、キーの長さが短かったこと、自家製の暗号アルゴリズムを使っており、その実行方法にエラーが存在したことを目に付けたカスペルスキーの研究者がその秘密鍵を入手し、クラッキングに成功している。
今回のGpcode.akは、1024bitのキーを使ったRSA暗号化アルゴリズムが使用され、更に、一度暗号化が終わるとVBSファイルを作ってウイルスの本体をデリートしてしまうことなど、より”強力”になっている。特に本体を自分でデリートすることからコードのサンプル集めには手間取ったらしく、「アルジェリア、フランス、ルーマニア、インド、ロシアなど、世界中でこのトロイの木馬のサンプルを探したが、やっとのことキエフ(ウクライナ)で実際のコードを見つけることができた」と、Kamlyuk氏は言っている。また、「現在のところ、どのような方法で流行するかは分かっていないが、ウエブかスパムというのが有力だ。現在はウイルスとカテゴライズされているが、性質としてはトロイの木馬であり、一度”感染”したマシンから他のマシンへの二次感染はないことが分かっている。」とも言っている。
さて、RSA-1024もの長さの鍵となると、複合化には、CPUクロック2〜3GHzのPC1,500万台で1年かかることから、カスペルスキーではそのブログで、「暗号学者、政府関連者、科学者、化学組織、アンチ・ウイルス企業、インデペンデントの研究者たちよ、Gpcodeの阻止に強力して欲しい。」と、以下の二つの鍵を発表してその因数分解への協力を呼びかけている。
・http://www.viruslist.com/en/weblog?weblogid=208187528
それだけでなく、カスペルスキーではGpcode専用のフォーラムも立ち上げた。
・http://forum.kaspersky.com/index.php?showforum=90
フォーラムではいろいろなアイデアが寄せられている。例えば「hiddenファイルを暗号化しないのなら、全てのファイルをhiddenにしてしまえばいい」「オリジナルを新しいファイルに暗号化してからオリジナルをデリートするのなら、ルートキットか何かを作ってこれができないようにすればいい」「Gpcodeが暗号化する最大ぎりぎりのテキストファイルのバックアップを使って、バックアップ・ファイルをその暗号化されたバージョンでもってxoringし、暗号化ストリームを計算する」「ウイルスの作者からディクリプターを”買って”それをリバース・エンジニアすればいい」「Boinc (boinc.berkeley.edu)を使えばいい(BOINCは世界最大のディストリビューテッド・コンピュータ・ネットワーク)」などの意見が寄せられており、中でもジョークで、「botnetを構築するウイルスを作成してばら撒いて、そのbotnetに解読させればいい」などというのもある。
ブルートフォースするのは現実的ではないが、Kamlyuk氏は「現在カスペルスキーは米国のMITと協力してリカバリー・ツールを開発して」おり、また、「犯人がyahooのメールアカウントを使っているが、yahooのポリシーでアカウント所持者の情報は公開しないことになっているから、犯人を追跡する調査には時間がかかる」と言っている。
万が一感染した場合は、即座に stopgpcode@kaspersky.com に連絡し、感染前にそのPCで行ったことをできる限り細かく説明するように、ということだ。
【速報】
Gpcode対策を調査していたカスペルスキーのVitaliy Kamlyukから、モスクワ時間6月13日深夜2時20分に、筆者にスカイプが入った。
「Gpcodeで暗号化されたファイルををデクリプトして元に戻すことはできないが、Gpcodeがファイルを暗号化する方法に目をつけ、被害にあった人が、自分で、無料でファイルをリカバリできる最適の方法が分かった」ということだ。
アップデートされたKamlyuk氏のウエブログに仔細があるが、世界中で被害にあった人たちに「いろいろなユーティリティを使ってファイルを復元するように指示してきたが、ほとんどのユーティリティはシェアウエアなのが難点」だった。Kamlyuk氏のチームでは、「Ontrack Easy Recovery、Winternals Disk Commander、Active Partition Recovery、Active Uneraser、File Undeleteなどを含む多数のユーティリティをテストし、PhotoRecというユーティリティが、このタスクに最適」との結論を出した。PhotoRecはGeneral Public License (GPL)で発表されているフリーウエアだ。
・Kamlyuk氏のウエブログ
・PhotoRec
「Gpcodeでは、ファイルを暗号化するのに、ターゲットファイルの暗号化バージョンを作成してから、次にオリジナルのファイルをデリートするという手順をとっているため、このオリジナルのファイルをリカバリするのが、身代金を払わずにデータをリカバリできる一番の方法だ」とは納得。「PhotoRecは、間違ってデリートしてしまった写真ファイルなどをリカバリするのを目的で作成されているが、その他のファイルのリカバリにも優れている」そうだ。唯一の難点が、「ファイルのパスやファイル名はリストアできない」こと。そこでKamlyuk氏はフリーのユーティリティー、StopGpcodeを作成し、ファイル・リカバリの手順をチュートリアルにまとめている。StopGpcodeは、Gpcodeが暗号化したファイルのサイズと、PhotoRecがリカバリしたサイズなどを比べて、正しいディレクトリ名とファイル名を推測して、ファイルを元のディレクトリー名のついたディレクトリーにソートしてくれる。
・ファイル・リカバリのチュートリアル
Gpcodeがファイルの暗号化をするのは阻止できないが、チュートリアルを読めば、誰もが無料でファイルをリカバリできるため、現実問題としてはこれでGpcodeは中和されたと言ってよいだろう。
Kamlyuk氏は、「Gpcodeの作者に”身代金”を払うかわりに、PhotoRecの作者に寄付をしてあげて欲しい」と言っている。
執筆:米国 笠原利香
■こちらもオススメ!【セキュリティ魂】
・ハッキング大学生と結びつく韓国セキュリティ業界
・あきれた性犯罪者リスト漏えい事件
・ハッキングの餌食となったATM
・アンチウイルスソフトの選び方
・優勝賞金は400万円!韓国ハッキングコンテスト
・【セキュリティ魂】バックナンバー
コメントするにはログインが必要です
Ads by Google
|
アイ・ディ・ジー・ジャパン
新品価格¥980
|
アイ・ディ・ジー・ジャパン
ロープライス¥777
|
前後の記事
- セキュリティホール情報<2008/07/07> ネットセキュリティ 07日15時30分
- 【セキュリティ魂】身代金を要求するマルウエア「ファイルを救いたければ$200払え!」
ネットセキュリティ 07日10時00分
- Google Adwordsを装ったフィッシング詐欺が蔓延中 G-DATAが警告 Techinsight Japan 04日18時29分
- 2008年6月はFlash Playerの脆弱性/マルチメディアファイルを悪用したトロイの木馬が流行
- アニメーター評価表らしきファイルがネット上にアップロードされた件について株式会社ボンズが公式見解発表 GIGAZINE 06日20時14分
(2)
ITアクセスランキング
- 1
- PS3にWindows Vistaをインストールして起動してみたムービー GIGAZINE 12日16時13分
- 2
- 「iPhone 3G」ネットワーク環境問題、高まる不満の声にアップル側は沈黙 CNET Japan 12日11時50分
- 3
- 履歴書に絶対書いてはいけない10個のウソ GIGAZINE 12日10時26分
- 4
- 雷が落ちる様子をスローモーションでとらえたムービー GIGAZINE 13日08時11分
- 5
- 【知っ得!虎の巻】ログオンパスワードを忘れたときのために備えよう
- 6
- 過激な「引き算」が進行するノートPC市場?/金森 努 INSIGHT NOW! 13日07時15分
- 7
- ケータイは何のための道具?――10代は“メール”、30代後半は“通話”がトップに ITmedia 13日07時00分
- 8
- 低価格ノートパソコンが空前のブーム、年内にシェア5割達成へ GIGAZINE 12日12時09分
- 9
- 世界を巻き込むGmailの障害 TechCrunch Japanese 12日07時49分
- 10
- 北京オリンピック開会式の花火による「巨人の足跡」は本当にCGだったのかどうかを検証してみた GIGAZINE 12日15時23分
注目の情報
アメックスのカードは充実した人生を、心から楽しむ人の一枚。
旅や日常に存在するストレスや手間を取り除いてくれる心強い
サービスたちが、このうえない心地よさを届けてくれます。
あなたの世界が広がっていく。