CryptoWallの歴史とCryptoLocker
2015年に研究者によってCryptoLockerが停止された後、マルウェア作者はCryptoLockerのコードを取り出し、CryptoWallと名付けられた新しい形態のランサムウェアに変換しました。当初はHTTPを使用してC&Cサーバと通信する単純なランサムウェアとしてスタートしました。HTTPを使用していたため、研究者はCryptoWallのパターンを特定して停止させることができ、それがCryptoWall 2.0につながりました。
CryptoWallは2015年以降、いくつかのバージョンを経ており、新しいバージョンが作られるたびに、セキュリティ防御を回避するための機能が追加されています。CryptoWallは現在バージョン4.0ですが、新しいバージョンが出るたびにユーザーからお金を強要する機能が追加されています。最新のCryptoWall 4.0は2021年末にリリースされており、新バージョンが定期的にリリースされる可能性があると考えるのが妥当でしょう。
CryptoWallのバージョン
CryptoWallの最初のバージョンは、C&Cサーバが異なるCryptoLockerのクローンだったため、最も大きな変化があったのはCryptoWall 2.0がリリースされたときでした。新しいバージョンでも、暗号化やフィッシングによる展開戦略は同じですが、ランサムウェアの技術的な機能は、検知されないように変更されています。これらの新しいバージョンは、もはやオリジナルのCryptoLockerとは全く異なり、企業にとって最も大きな脅威となりました。
CryptoWall 2.0
CryptoWall 2.0の最大の変化は、その配信方法でした。C&Cサーバとの通信に、研究者の分析に対して脆弱なHTTPを使用しなくなったのです。また、バージョン2.0の作者は、ウェブサイト広告での配信を追加し、ブラウザの脆弱性を利用してマルウェアをインストールし、パッチが適用されていないソフトウェアの脆弱性を利用してランサムウェアをインストールするようになりました。
CryptoWall 3.0
CryptoWall 2.0の後、マルウェアの作者はCryptoWall 3.0でインストール時の攻撃性を高めました。これは、研究者から通信と身元を隠すためにI2P匿名ネットワークを使用した最初のバージョンでした。CryptoWall 3.0は、ダウンローダープログラムを指し示すリンクが含まれたフィッシングメールから始まりました。ダウンローダーを実行すると、ユーザーは複数のドメインのうちの1つに接続され、そこでメインのランサムウェアがダウンロードされ、ローカルコンピュータにインストールされます。この時点で、ランサムウェアはファイルを暗号化し、開いている共有ドライブをネットワーク上でスキャンするという典型的な機能に従っていました。ランサムノート(身代金を要求する通知)は、ローカルデバイスにインストールされ、ファイルが暗号化された後に被害者に表示されました。
CryptoWall 4.0
2021年にCryptoWall 4.0が登場しました。このバージョンでは、ローカルデバイスとC&Cサーバの間の通信が改善されています。修正されたプロトコルを使用して、アンチウイルスソフトからの検出を回避し、ファイアウォールルールを迂回します。CryptoWallはフィッシングメールも使用して拡散しますが、この新バージョンはWindowsのシステムに潜伏し、標的となった被害者のシステム復元能力を無効にします。
CryptoWallのすべてのバージョンは、データを暗号化するために暗号学的に安全な暗号を使用します。現在のバージョンではRC4を使用していますが、古いバージョンではRSA-2048を使用しています。どちらのバージョンも秘密鍵なしでデータを復号化することを不可能にしています。すべてのバージョンでマッピングされたドライブをスキャンし、バックアップを破壊する措置をとっています。バージョン4.0では、Windowsのシャドウコピーを破壊し、Windowsのスタートアップ修復機能を無効にすることで、バックアップの復元をますます困難にしています。
CryptoWall 5.1
CryptoWallの最新バージョンは5.1ですが、他のバージョンとは異なり、全く別のコードベースである可能性があります。2015年にGitHubに投稿されたオープンソースのトロイの木馬「HiddenTear」マルウェアがベースになっています。CryptoWall 5.1は、異なるコードベースで動作するためAES-256暗号を使用しますが、他の動作モードは類似しています。CryptoDefenseなどのいくつかの亜種は、CryptoWallの最新バージョンと類似しています。
CryptoWallの仕組み
CryptoWallの一部の機能は、バージョン間で存続しています。CryptoWall 4.0は、2015年のオリジナル版から最も多くの変更が加えられた最新版です。ランサムウェアの一般的な機能は、ユーザーのファイルを暗号化して復元できないようにすることですが、修復を特有に難しくしているところが、作者の戦略です。CryptoWallのインシデントではバックアップを使用したリカバリが唯一の解決策ですが、CryptoWallはバックアップを検索して同様に暗号化します。
最初の攻撃は、他のランサムウェアのキャンペーンと似ています。標的となる被害者は、悪意のあるリンクが記載されたフィッシングメールを受け取ります。このリンクは、攻撃者が管理するドメイン上のURLを指し、ユーザーはそのサイト上でマルウェアのダウンロードに同意しなければなりません。マルウェアは、スクリプト、実行ファイル、または悪意のあるマクロを使用してダウンロードされる場合があります。一般的に、ダウンローダーファイルは、ランサムウェアの実行ファイルが保存されている、攻撃者が管理するドメインに接続します。
ダウンローダーは、ランサムウェアファイルをローカルマシンに転送し、実行します。この時点で、CryptoWallはローカルマシンをスキャンし、約150種類のファイル拡張子を検索します。一致するファイル拡張子を持つファイルはすべて暗号化され、CryptoWall 4.0はファイルの内容に加え、ファイル名も暗号化します。このランサムウェアは、Windowsオペレーティングシステム、特にexplorer.exeとsvchost.exeプロセスに自身を埋め込みます。また、スタートアップ修復機能など、バックアップやリカバリのための機能を無効化し、復旧の可能性を潰すことも目的としています。
ファイルのバックアップを修復または復元するためのWindowsの機能である、ボリュームシャドウコピーはすべて破壊されます。CryptoWallは次に、マッピングされたドライブをスキャンし、それらも暗号化します。秘密鍵が生成され、マシンのアーキテクチャ、IPアドレス、ランサムウェアの権限レベル、Windowsのバージョンなどの情報とともにC&Cサーバに送信されます。
ペイロードが配信されると、CryptoWallは次に、身代金の支払いやファイルの回復に関する指示を記載したテキスト版およびHTML版のランサムノートを含む3つのファイルをローカルマシンに保存します。ユーザーは「Tor」ブラウザをダウンロードして、特定のサイトにアクセスし、身代金を支払ってファイルを復元するよう指示されます。専門家は、被害者が秘密鍵を受け取れる保証がないため、身代金の支払いに応じないよう助言しています。しかし、多くのユーザーはファイルを取り戻すために身代金を支払っています。
CryptoWall感染の兆候
CryptoWallの暗号化プロセスは迅速に行われ、最初の感染は何の警告サインもなくバックグラウンドで処理されます。CryptoWallはそのペイロードを配信した後、ユーザーに対してランサムノートを表示し、ファイルが暗号化されていて、ファイルを取り戻すためには身代金を支払わなければならないと伝えます。
ランサムノート以外にも、コンピュータがCryptoWallに感染していることを示す兆候があります。CryptoWallの新しいバージョンでは、ファイルやファイル名を暗号化するため、ユーザーはファイルを見ることができなくなります。バックアップの復元ではなく、身代金の支払いの可能性を高めるために被害者の緊急性を煽るという戦略です。
CryptoWallは、ユーザーに指示を与えるために3つのファイルを保存します。システム上で以下のような3つのファイルを確認できるということは、マシンにCryptoWallランサムウェアが存在することを示しています。
- HELP_YOUR_FILES.TXT
- HELP_YOUR_FILES.HTML
- HELP_YOUR_FILES.PNG
ユーザーがWindowsでドキュメントフォルダを表示すると、どのファイルにも元の名前がありません。ファイル名は、ランダムな数字と文字、ランダムなファイル拡張子のような暗号化された名前に置き換えられます。ランサムノートと暗号化されたファイル名は、CryptoWallランサムウェアの感染の2つの主要な兆候です。
CryptoWall被害に合った場合の対処法
ユーザーにとって最大の決断は、身代金を支払うかどうかです。専門家は、秘密鍵が提供されない可能性があるため、身代金を支払わないよう助言しています。身代金を支払うことで、より多くの攻撃者がより多くのランサムウェアを構築することを促し、さらに状況が悪化します。ランサムウェアの復元プロセスにバグがあり、ファイルデータが永久に破損して失われることもあります。
システムからCryptoWallを削除することは、インシデント対応で最も困難な部分ではありません。優れたウイルス対策アプリケーションは、システムからCryptoWallを削除しますが、ファイルを復号化することはできません。ファイルを復号化して復元する唯一の方法は、暗号化され発見されないように保護された秘密鍵を持つことです。
優れたバックアップは復号化の問題を克服するため、ユーザーは秘密鍵を持っていなくてもファイルを復元することができます。CryptoWallを含むランサムウェアは、ローカルマシン、マップされたネットワークドライブ、リムーバブルストレージ上のバックアップファイルを探し出し、ユーザーが復元できないように暗号化します。バックアップを暗号化することで、身代金の支払いの可能性を高め、マルウェア作者の成功率を向上させます。
CryptoWall対策
ランサムウェアの多くは、悪質なフィッシングメールから始まります。一般的に、ユーザーはフィッシングの手口に気付かず、送信者の身元やマルウェアの可能性を考慮せずにリンクをクリックしてしまうことがあります。フィッシング対策として最も有効なのは、偽装されたヘッダーや不審なメッセージをブロックするメールフィルターであり、セキュリティ意識向上トレーニングも有効です。フィッシングメールが標的のユーザーの受信トレイに届く可能性を減らすことは、あらゆるランサムウェアに対する最善の防御となります。
ユーザーには、不審な送信者からのリンクを決してクリックしないよう指導する必要がありますが、一部のハッカーは、侵害されたメールアカウントの連絡先リストに悪意のあるメールを送信することがあります。ユーザーは、実行ファイルを自動的にダウンロードするようなリンクを避けるべきであり、電子メールのリンクから誤ってダウンロードされた実行ファイルは、被害を避けるために直ちに削除する必要があります。優れたウイルス対策ソフトウェアは、多くの実行ファイルを阻止しますが、ゼロデイマルウェアを捕らえることはできず、ランサムウェアを防ぐための唯一のアンチマルウェア戦略として使用すべきではありません。
ランサムウェアの攻撃に備えて、常に頻繁にバックアップをとっておくことをおすすめします。バックアップは、ランサムウェアのスキャンから保護する必要があります。つまり、誰でもアクセスできる共有ドライブに保管すべきではありません。これらは、昇格された権限を持つ人のみがアクセスできるようにする必要があります。クラウドベースのストレージは、一般的なマップされた共有ドライブではアクセスできないため、ランサムウェアのシナリオでは有効です。
CyptoWallの被害
CryptoWallの感染の大部分は、米国、カナダ、オランダ、およびドイツで発生しています。これらの国々は、世界中のCryptoWall感染のほぼ半数を占めています。ファイル復号化のための身代金の平均は、ビットコインで約500ドルです。最近はコストが上昇しており、一部の感染ではビットコインで1,000ドルを要求しています。
重要なデータを持つ企業にとって、CryptoWallのようなランサムウェアの被害に遭うことは、収益に影響を与える事象です。重要なデータが利用できなくなると、生産が停止し、ビジネスが成り立たなくなります。ランサムウェアのような収益に影響を与える事象から回復する唯一の方法は、バックアップを採用することです。そのため、しっかりとしたバックアップと災害復旧計画を持つことが組織にとって重要です。
CyptoWallに対するProofpointのソリューション
Proofpointは、お客様がランサムウェア攻撃を防止するためのリソースと戦略を提供しています。当社のRansomware Hubでは、ランサムウェアに関するソリューション、戦略、アドバイス、情報、および収益に影響を与える事象になるのを阻止する方法などを提供しています。また、ランサムウェアの危険性とビジネスへの影響についてお客様に理解していただくために、ランサムウェアサバイバルガイドをご用意しています。万が一、ユーザーがランサムウェアの被害に遭った場合、管理者ができること、身代金を支払うかどうかを判断する方法などについても解説しています。