ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB16001:ランサムウェア

更新日:2016年04月13日

ランサムウェア (Ransomware) は、パソコンをロックしたり、パソコン内のファイルを人質にとったりする不正プログラムの総称です。2015年以降、特に、パソコン内のファイルを暗号化し、その暗号解除と引き換えに金銭を要求するランサムウェアは急増しています。 HIRT-PUB16001 では、ランサムウェアの変遷と、2015年以降の動向について紹介したいと思います。

1. 概要

ランサムウェアには、パソコン内のファイルを暗号化する暗号化型、パソコンへのアクセスを制限するロック型とがあります。 最初のランサムウェアは、1989年に発見された AIDS/PC Cyborg で、対称鍵を使用する暗号化型でした。

2006年に入ると、RSA 公開鍵を利用した暗号化型ランサムウェア GPcode、Archiveus が流布し始めます。 そして、2010年には、ウインドウ画面をロックして、ロックを解除するための支払いを要求するロック型ランサムウェアが出現しました。

大きく流れが変わってきたのは、Cryptolocker 以降です。 2011年9月、感染したパソコン上でオンラインバンキング取引を傍受して利用者や銀行から金銭を詐取する Gameover Zeus が流布し始めます。 Cryptolocker は、この Gameover Zeus を利用して配布され、2013年9月以降急速に広がり始めました。

図1:ランサムウェアの変遷
図1:ランサムウェアの変遷

2. 動向

ランサムウェア (Ransomware) は、サイバー攻撃手法のひとつとして、急速に広がり始めています。

2014年、ランサムウェアによる攻撃が113%増加し、ファイル人質型に至っては45倍増(シマンテック, 2015 Internet Security Threat Report, Volume 20 (Apr. 2015))。

2015年、64%が暗号型、36%がロック型、日本での発見件数は第2位(シマンテック, The evolution of ransomware (Aug. 2015))

ランサムウェアの合計数は2014年よりも127%増加、2015年第2四半期だけで約120万の新たな検体が発見された(マカフィ, 脅威レポート (Aug. 2015))。

2015年、CryptoWall、CTB-Locker、CryptoLockerが主流であるが、今後新しいファミリが出現する可能性がある(マカフィ, 2016年の脅威予測 (Nov. 2015))。

2015年、約75万のPCで感染が確認された(カスペルスキー, Overall statistics for 2015 (Dec. 2015))

図2:ランサムウェア発見件数トップ10
図2:ランサムウェア発見件数トップ10
出典:シマンテック, The evolution of ransomware (Aug. 2015)

図3:新たなランサムウェア検体件数
図3:新たなランサムウェア検体件数
出典:マカフィ, 脅威レポート (Aug. 2015)

3. 対策

ランサムウェアの被害は、ファイルが暗号化されて利用できなくなってしまうことです。 暗号化されてしまった場合には、ファイルを復元することは難しいことから、暗号化されてしまった場合でも復元できるよう、定期的にバックアップを取得してください。
また、ランサムウェアの中には、ネットワークドライブ等を通じてファイルサーバ上のファイルを暗号化するものや、バックアップファイルを暗号化するものが報告されているため、バックアップの保存場所やアクセス制御にも注意が必要です。

暗号化されてしまった場合のファイルの復旧
・定期的なバックアップの取得、オフラインでのバックアップ保存

ランサムウェアによるファイル暗号化の抑止
・フォルダやファイルへのアクセス制御強化

ランサムウェア感染の抑止
・脆弱性対策(OSおよびソフトウェアを常に最新の状態に保つ)
・マルウェア対策(セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ)

4. 関連情報

4.1 ランサムウェアの対策

4.2 ランサムウェアの変遷

(1) Windows 環境

年月 ランサムウェア名
2013年9月 CryptoLocker
支払い方法:Moneypak、Ukash、cashU、Bitcoin
ファイル暗号:AES
公開鍵暗号:RSA-2048
参考情報: Dell SecureWorks:CryptoLocker Ransomware (Dec. 2013) シマンテック:Trojan.Cryptolocker (Sep. 2013) CryptoLocker Ransomware Information Guide and FAQ (Oct. 2013)
2013年12月 CryptoLocker 2.0
支払い方法:Bitcoin
ファイル暗号:3DES
公開鍵暗号:RSA-1024
参考情報: ESET:Cryptolocker 2.0 (Dec. 2013)
2014年2月 CryptoDefense
脅迫状ファイル:HOW_DECRYPT.TXT など
参考情報: CryptoDefense (Feb. 2014)
2014年3月 CryptoWall 1.0
脅迫状ファイル:DECRYPT_INSTRUCTION.TXT など
参考情報: Dell SecureWorks:CryptoWall Ransomware (Aug. 2014) シマンテック:Trojan.Cryptodefense (Mar. 2014) CryptoWall and HELP_DECRYPT Ransomware Information Guide and FAQ (Jul. 2014) CryptoWall 1.0 (Mar. 2014)
2014年7月 CTB-Locker (Curve-Tor-Bitcoin Locker)
公開鍵暗号:楕円曲線
暗号化ファイルの拡張子:ctbl
脅迫状ファイル:DecryptAllFiles [user_id] .txt など
参考情報: トレンドマイクロ:ファイル暗号化で「脅迫」するランサムウェア、複数の新種を確認 (Aug. 2014) CTB Locker and Critroni Ransomware Information Guide and FAQ (Jul. 2014)
Cryptoblocker
参考情報: トレンドマイクロ:ファイル暗号化で「脅迫」するランサムウェア、複数の新種を確認 (Aug. 2014)
2014年8月 TorrentLocker
暗号化ファイルの拡張子:encrypted など
脅迫状ファイル:DECRYPT_INSTRUCTIONS.html など
参考情報: Analysis of "TorrentLocker" - A New Strain of Ransomware Using Components of CryptoLocker and CryptoWall (Aug. 2014) トレンドマイクロ:ランサムウェア「TorrentLocker」の攻撃を確認、およそ4,000の機関や企業で被害 (Oct. 2014) TorrentLocker (fake CryptoLocker) Ransomware Information Guide and FAQ (Dec. 2014)
2014年10月 CryptoWall 2.0
脅迫状ファイル:DECRYPT_INSTRUCTION.TXT など
参考情報: Inside CryptoWall 2.0: Ransomware, professional edition (Jan. 2015) CryptoWall 2.0 (Oct. 2014)
2014年11月 Coinvault
復元ツール:ransomware decryptor
参考情報: The CoinVault Ransomware Information Guide and FAQ (Nov. 2014)
2015年1月 CryptoWall 3.0
ファイル暗号:AES-256
公開鍵暗号:RSA-2048
脅迫状ファイル:HELP_DECRYPT.HTML、HELP_DECRYPT.TXT など
参考情報: トレンドマイクロ:情報窃取型不正プログラムと連携するランサムウェア「Cryptowall 3.0」 (Mar. 2015) CryptoWall 3.0 (Jan. 2015)
2015年2月 TeslaCrypt
暗号化ファイルの拡張子:ecc、exx、ezz など
脅迫状ファイル:HELP_TO_DECRYPT_YOUR_FILES.txt など
復元ツール:TeslaDecoder
参考情報: シマンテック:Trojan.Cryptolocker.N (Feb. 2015) TeslaCrypt and Alpha Crypt Ransomware Information Guide and FAQ (May. 2015)
2015年3月 CRYPVAULT
参考情報: トレンドマイクロ:CRYPVAULT: New Crypto-ransomware Encrypts and "Quarantines" Files (Apr. 2015)
2015年7月 TeslaCrypt 2.0
暗号化ファイルの拡張子:aaa、zzz
参考情報: カスペルスキー:危険度を増したランサムウェア「TeslaCrypt 2.0」 (Jul. 2015) TeslaCrypt 2.0: Cyber Crime Malware Behavior, Capabilities and Communications (Sep. 2015)
2015年9月 Chimera
参考情報: トレンドマイクロ:Cryptoランサムウェア「Chimera」、オンライン上で外部公開すると脅迫 (Dec. 2015)
TeslaCrypt 2.1
暗号化ファイルの拡張子:abc(TeslaCrypt 2.1.0)、ccc(TeslaCrypt 2.1.0a)
参考情報: TeslaCrypt 2.1 Analysis: Cracking "Ping" Message (Sep. 2015)
2015年11月 CryptoWall 4.0
ファイル暗号:AES-256
公開鍵暗号:RSA-2048
暗号化ファイルの拡張子:ランダムな英数字に変更
脅迫状ファイル:HELP_YOUR_FILES.HTML、HELP_YOUR_FILES.TXT など
参考情報: CryptoWall 4.0 released with new Features such as Encrypted File Names (Nov. 2015) CryptoWall 4.0 (Nov. 2015)
2015年12月 TeslaCrypt 2.2
暗号化ファイルの拡張子:vvv
復元ツール:TeslaCrack
参考情報: カスペルスキー:TeslaCrypt:第3ラウンド (Dec. 2015)
2016年1月 TeslaCrypt 3.0
暗号化ファイルの拡張子:xxx、ttt、micro
脅迫状ファイル:Howto_Restore_FILES.HTM、Howto_Restore_FILES.TXT など
参考情報: TeslaCrypt 3.0 Released with Modified Algorithm and .XXX, .TTT, and .MICRO File Extensions (Jan. 2016)
2016年2月 Locky
暗号化ファイルの拡張子:locky
脅迫状ファイル:_Locky_recover_instructions.txt など
参考情報: シマンテック:Trojan.Cryptolocker.AF (Feb. 2016) トレンドマイクロ:新たな多言語対応ランサムウェア「Locky」が国内でも拡散中 (Feb. 2016)
MSIL/Samas
暗号化ファイルの拡張子:encrypted.RSA
脅迫状ファイル:HELP_DECRYPT_YOUR_FILES.html など
参考情報: マイクロソフト:Ransom: MSIL/Samas.A (Jan. 2016) トレンドマイクロ:凶悪化するランサムウェア:遠隔でLAN内拡散、バックアップも破壊する「SAMAS」 (Apr. 2016)
2016年3月 Surprise
支払い方法:Bitcoin
ファイル暗号:AES-256
公開鍵暗号:RSA-2048
暗号化ファイルの拡張子:surprise
参考情報: Surprise Ransomware Installed via TeamViewer and Executes from Memory (Mar. 2016)
Petya
復元ツール: Petya Decryption Site Petya Sector Extractor find key in seconds to restore petya ransomware encrypted mft
参考情報: トレンドマイクロ:RANSOM_PETYA.A (Mar. 2016) Ransomware Petya encrypts hard drives (Mar. 2016) トレンドマイクロ:新暗号型ランサムウェア「PETYA」、MBRを上書きしてPCへのアクセス不能に (Mar. 2016)
KimcilWare
暗号化ファイルの拡張子:kimcilware、locked
脅迫状ファイル:README_FOR_UNLOCK.txt
参考情報: The KimcilWare Ransomware targets web sites running the Magento Platform (Mar. 2016)
PowerWare
脅迫状ファイル:FILES_ENCRYPTED-READ_ME.HTML
参考情報: Threat Alert: "PowerWare," New Ransomware Written in PowerShell, Targets Organizations via Microsoft Word (Mar. 2016)
Rokku
暗号化ファイルの拡張子:rokku
公開鍵暗号:RSA-512
参考情報: Rokku, the "professional" ransomware (Mar. 2016)

(2) Mac 環境

年月 ランサムウェア名
2016年3月 KeRanger
参考情報: シマンテック:KeRanger: Mac OS X を狙う初のランサムウェアが登場 (Mar. 2016)

(3) Android 環境

年月 ランサムウェア名
2014年5月 ANDROIDOS_LOCKER.HBT
参考情報: トレンドマイクロ:Android端末を狙うランサムウェア、匿名通信システム「The Onion Router(Tor)」を利用 (Jun. 2014) トレンドマイクロ:日本語表示に対応したモバイル版ランサムウェアを初確認、既に国内でも被害 (Mar. 2016)

(4) Linux 環境

年月 ランサムウェア名
2015年11月 Linux.Encoder
復元ツール:Decrypter
参考情報: Dr.WEB:Linux.Encoder.1 (Nov. 2015) Ransomware Found Targeting Linux Servers and Coding Repositories (Nov. 2015)

5. 更新履歴

2016年04月13日
  • 4.2章に(Petya 復元ツール)追記しました。
2016年04月06日
  • 4.2章に追記しました。
2016年03月30日
  • このページを新規作成および公開しました。

担当:寺田、大西/HIRT