セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

ランサムウェアLockyの悪質な更改版の拡散が始まっています。

Locky
ランサムウェアLockyの動きが最近代わってきています。

従来との変更点

従来のLocky

従来のLockyは、C&Cサーバー(攻撃司令サーバー)との通信がブロックされた場合は暗号化を行わなかった。
読めなくなってしまった(暗号化された)ファイルを元に戻す(複合化を行う)ために、振込を確認後、攻撃者はキーファイル(鍵)を被害者に渡す必要があるが、その鍵の受け渡しができる通信炉があることを確認してから暗号化を行っていた。

今回のLocky

今回のLockyは、C&Cサーバーとの通信がブロックされた場合にも、暗号化を行う。
読めなくなってしまった(暗号化された)ファイルを元に戻す(複合化を行う)ために、振込を確認後、攻撃者はあらかじめ、公開キーファイル(鍵)を被害者に渡すよう暗号化したキーをLockyのコード内に暗号化して保存をしている。
そのため、C&Cサーバーとの通信が必須ではなくなった。

被害件数が増えそうな予測

C&Cサーバーとの通信ができないときの公開キーは、C&Cサーバーとの通信のたび発行されるキーと違いLockyコードの中に暗号化して埋め込まれている。
そのため解析ができる余地はありますが一般のPC利用者にとっては、簡単に解析できるものではありません。

それどころか、今まで感染しても様々な要因でC&Cサーバとの通信がうまくいかずに暗号化が始まらなかったケースがありますが、今度はそうもいかなくなりました。
【過去のたまたま感染しなかったサンプルシナリオ】
(1)感染時、インターネット接続をしていなくて、オフライン状態だった。
C&Cサーバが痕跡を消すために撤退したあとに、PCを起動してLockyが動作した。
(2)コードの不備で、C&Cサーバへの接続URLがそもそも間違っていた(結構あります)
ランサムウェア作成があまりに簡単であるため、知識が無い攻撃者による 感染しても実害が無い、もしくは、入金しても元に戻してくれない攻撃は以前から多くありました。

以上についても、新種のLockyについては暗号化が始まってしまいますので今後は感染ボリュームが増えてしまうことなどが予想されます。

以前の感染を止めていた動画記事はこちら

Lockyについては、以前にCheck Pointでの感染防御動画などをご紹介しています。

LockyLocky感染デモ&防御動画はこちら

動画中で、感染後にアンチボット機能でC&Cサーバとの通信をブロックして暗号化を止めている様子が紹介されています。

以前は、感染しても暗号化直前で止める、アンチボット機能でしたが本記事の通りの改変があった新種Lockyに対しては仕組み上防げず、暗号化されてしまいます。

ただし、新しいマルウェアが見つかると、Check Point社は大抵、即時解析し定義ファイル(対策ファイル)を作成して翌日には世界中のCheck Pointへ対策ファイルの配信し自動更新をかけるためアンチボットが動作する前に、アンチヴィールスやURLフィルタリングの防御機能が働き、暗号化する前の段階で、Lockyの感染を止めます。

とはいえ、鮮度の高いメール添付ファイルについては若干リスクが上がっていますので十分ご注意ください。

  • img_cp700_01

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る