Word経由で感染のビットコイン身代金型ウイルスが検出される

マカフィーは12月9日、ランサムウェアLooCipherの分析を公開した。これまでに発見されたSodinokibiなどと同様、感染することでデータを暗号化し、身代金としてBitcoinの支払いを要求する新ファミリーランサムウェアだ。分析によると、LooCipherは、Microsoft Wordなどで用いるDOC形式のファイルを介して配信されているという。

MalDocで使用されるコンテンツと技術は、他のマルウェアで使用されるDOCファイルに比べて非常に単純であり、分析チームに参画するパートナーが、感染ファイルを復元させるために有効な復号化プログラムをすでに提供している。万一感染してしまった場合でも、ファイルを取り戻すことは可能だ。

LooCipher感染被害の分布。発表資料より引用、以下同

LooCipherは、開発の初期段階にある新しい攻撃者によるものとマカフィーは分析する。特別なソーシャルエンジニアリング技術の適用は見られず、DOCファイルに「マクロを有効にする」という単純なメッセージのみが追加されているという。

ファイルを開いてしまうと、リモートサーバーからLooCipherをダウンロードし、実行。事前定義された文字セットを使用して暗号化ルーチンを開始する。特徴として、16バイトのブロックを作成してローカルシステム時間を利用、AES-ECB暗号化アルゴリズムをプロセスで使用するという。ただし、キーはすべてのファイルで同じなため、ファイルの回復プロセスは容易とのこと。

ウイルスの身代金要求は、ファイル暗号化の最後にユーザーに対して救済メモを表示し、Bitcoinの支払いを命ずる。LooCipher複合化プログラムが、特殊なカウントダウンとともにシステムにポップアップされるという。

ポップアップによる身代金の要求メモ画面

メモでは、支払先となる「BTCアドレスはユーザー向けに特別に生成されている」と言っているが、それは正しくない。分析チームが観察した結果、すべてのBTCアドレスはバイナリにハードコーディングされていたという。ただし、LooCipherで見つかったBTCアドレスはいずれもトランザクションを示す記録はなく、同ランサムウェアの攻撃による身代金の現金化はないと考えるとした。

最後に分析チームは、この件に関わらず、ランサムウェアによる身代金の支払い要求を受けた場合は拒否するよう助言している。万が一感染してしまった場合は、その後に復号プログラムがリリースされる可能性があるので、必ず暗号化されたファイルのコピーを保存すること。また会社等では、社内で強固なバックアップワークフローを持つことを推奨している。