ランサムウェアサービスが、バージョンアップして帰ってきた

以前に紹介した Petya & Mischa（ペチャ＆ミスチャ） という名前の
複合ランサムウェア（Ransomware：身代金型ウイルス）パッケージが（関連記事）
ランサムウェア GoldenEye（ゴールデンアイ）という ジェームズボンド 007の映画タイトル にちなんだ名前で、帰ってきました。

GoldenEyeの動き

・スパムメールで、PDFとExcelファイルを添付してくる。
・Excelファイルを開くと、中のVBA（マクロコード）が動作する。
・VBAは、Petya & Mischaの２つのランサムウェアの組み合わせをインストールしようと試みます。


VBAコードの例（一部省略しています）

従来のPetya & Mischaの動き

Petya：パソコン起動時にまず読込む、ハードディスク中の起動情報(MBR)を変更して、パソコンを使えなくする。
　　　 さらにHDD内のファイルの位置情報（MFT）を暗号化する。
Mischa：Petya動作が失敗した場合、Mischaがファイル暗号化をする。

今回のバージョンアップしたGoldenEyeの動き

GoldenEyeは
　１）まず、コンピュータ上のファイルを暗号化し(従来のMischaパート)
　２）パソコンの起動情報(MBR)を書き換えて(従来のPetyaパート)
　３）ハードディスクの中身の位置情報（MFT）を暗号化しようとします。(従来のPetyaパート)

１）GoldenEyeは一般的なランサムウェアと同様にユーザーのファイルを暗号化します。
　暗号化されたファイルごとに、GoldenEyeは最後にランダムな8文字の拡張子を付加します。

　例）　暗号化前:議事録.docx
　　　 暗号化後:議事録.docx.eb63ab76

２）また、カスタムブートローダー（パソコンの起動プログラムの内容を改変するプログラム）を使用して
　ユーザーのハードディスクのMBR（マスターブートレコード：起動情報）を変更し、
　Windowsを起動せず、別の起動ファイルを選択するよう設定変更をします。
　もちろん、それはランサムウェアの暗号化機能が動作する起動ファイルです。
　
この操作が終了すると、ランサムウェアは
以下の身代金要求をするテキストファイルを出力します。

ファイル名：YOUR_FILES_ARE_ENCRYPTED.TXT.（あなたのファイルは暗号化されました）


脅迫と身代金要求のテキストファイル

3)身代金を表示した直後、GoldenEyeはハードディスクのファイル位置情報（MFT）
の暗号化処理に入るためユーザーのコンピュータを強制的に再起動します。
起動の最初に、2)の手順で起動ファイルを書き換えているため、
Windowsではなく、マルウェアのシステムが起動し、偽のchkdsk画面が表示されます。

偽チェックディスク画面

その裏側では、PCのハードディスクのMFT（ハードディスク内のファイル位置情報）の暗号化が開始され
たとえ、ハードディスクをファイル救出のために取り外して他のPCに接続しても
ハードディスク上の暗号化されたファイルさえ見ることができなくなってしまいます。
このプロセスが終了した後、新たな身代金の画面である以前のPetya & Mischa感染からの目に見える変化が見られます。
パソコン起動時に表示される、身代金要求画面のテキスト内容は、以前のPetyaの画面と同じですが、
当初、Petyaは赤い画面を使用していたのに対して、今は黄色のテキストで表示されています。

従来のPetyaの画面

今回のGoldenEyeの画面

暗号化完了後に表示される脅迫画面

ファイルを元に戻したい被害者は
身代金要求画面に書いてある通りに、
　１）匿名ブラウザ【Torブラウザ】をインストールし
　２）指定された、http://golden**********.onion/******** のアドレスにインストールした【Torブラウザ】でアクセスし
　３）解読コードをダークウェブポータル（匿名の運営サイト）に入力します。

脅迫画面に書いていた、個人コードを貼り付けてください。


BitCoin口座を開設して、BitCoinを購入してください。


BitCoinを下記の宛先に振り込んでください。

GoldenEye Petyaは現在（2016年12月時点）1.33284506 Bitcoin（およそ1,000ドル）を要求しています。
結論から言うと、BitCoinを入金すればほとんどの場合、データはかえってきます。しかしながら
ランサムウェアの入金が成功すればするほど、「まだ増やしても、被害者は払うようだ・・。」と、
攻撃者は要求額を増やしていきます。（2015年12月時点では、１回あたりの被害額が300ドル前後でした。）
(2017年6月28日時点では、300ドル前後に戻っています。)

ダークウェブポータル（身代金請求サイトの問い合わせ画面）に、
「ゴールデンアイがコンピュータのクラッシュを引き起こした、金を払うから元に戻してほしい」
という報告をしているユーザーもいます。
しかし、こうなると身代金を払っても、データを戻すことができません。

ハードディスクのクラッシュ時のWindows起動不可画面

サポートサイトにその方は問い合わせをしたようですが、
暗号化途中に誤って壊してしまったHDDを戻すことは誰にもできず
復帰するための処理を案内する内容の返信はありません。

問い合わせ画面例

【Petya】　→　【Petya & Mischa】　→　【GoldenEye】 の歴史

Petya ランサムウェアは、2016年3月に最初に登場し、最初のバージョンでは
HDDの起動情報（MBR）とHDD中のファイルの位置情報（MFT）のみが暗号化されました。
ファイルの暗号化機能はありませんでした。

しかし、HDDの暗号化には管理者権限が必要で、HDD暗号化の成功率が低かったため、
5月にはMischaという名前のファイル暗号化機能がPetyaに追加されました。
PetyaによるHDDの暗号化が失敗した場合には、Mischaによってファイルを古典的な方法で暗号化します。

PetyaとMischaは、どちらもJanusという名前のサイバー犯罪者集団によって開発されています。
Janus（ヤヌスもしくはジャニス）は2016年10月までJanus Cyber​​crimeという、Webサイトを運営していました。
そこではPetya＆Mischa ランサムウェアをRaaS（サービスとしてのランサムウェア）として提供しました。（関連記事）

また、7月にJanusは、Chimeraという別の犯罪組織が作成したランサムウェアの解読鍵をわざと公開し、
競合のランサムウェア開発組織を崩壊させました。（関連記事）

12月に、サイバー犯罪組織の名前である、Janusは、
Petya-Mischaの組み合わせによるRaaSのブランド名をゴールデンアイとして、全て刷新し、展開しています。

＊Janus Syndicate（犯罪組織）は、
1995年に公開された、ジェームズボンド 007 映画 GoldenEyeで出てきた
サイバー犯罪組織の名前を模倣されたものと考えられています。

ランサムウェア感染対策に必要なこと

　・セキュリティ対策製品を多層で導入する（Check Point UTM & F−Secure PSB）
　・万一、すべてのセキュリティを突破されてしまった時のためにすぐに事業継続、復帰できる仕組み（クラウドバックアップ）

などが挙げられます。

Check Point 社対応

◆Check Point SandBlast （サンドボックス）
◆IPS （不正侵入防止）機能
　Check Point 社の製品では、
　以上の２機能で、下記２点の脅威に対して対応済みとアナウンスされています。

　・Microsoft Office Files Containing Malicious Downloader
　　マイクロソフトのオフィスファイルにふくまれている、危険なソフトウェアダウンローダー
　・Microsoft Office Files Containing Malicious VBScript Downloader)
　　マイクロソフトのオフィスファイルにふくまれている、危険なVBAスクリプトで動作するダウンローダー

対応する製品としては
□Check Point UTM IPS
□SandBlast AGENT SandBlast （サンドボックス）
□Check Point 5000シリーズ SandBlast （サンドボックス） & IPS
□Check Point サンドボックス SandBlast （サンドボックス） & IPS

などが挙げられます。

（記事引用元）

Petya Ransomware Returns with GoldenEye Version, Continuing James Bond Theme