身代金を支払ってもファイルを復元できない「The Wise Guys」に注意

●
ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は、以下の5つのランサムウェアを紹介します。

警察や司法機関を名乗るランサムウェアの亜種（FBIランサムウェア）
The Wise Guys ランサムウェア
"Pyschedelic" ランサムウェア
Inlock ランサムウェア
Xorist ランサムウェアの新しい亜種

警察や司法機関を名乗るランサムウェアの亜種（FBIランサムウェア）

ランサムウェアの中には、連邦捜査局（FBI）や司法省などの法執行機関を装ったものも少なくありません。このようなランサムウェアは黎明期から存在しています。

その代表例としては、2012年に拡散された「Reveton」が挙げられます。Revetonは最初に欧州諸国で広がり、ターゲットの居住国に合わせて異なる警察組織のロゴを付けたテンプレートによって、ローカライズ（地域化）されていました。この種のランサムウェアはターゲットに対し、「著作権侵害」や「違法な写真・動画の所持」を告発し、罰金を支払うよう促します。

今回発見されたのはその亜種です。「亜種」とは、すでに出回っている不正プログラムなどの一部を改変して作られたマルウェアのことであり、基本的な動きは元のマルウェアとほぼ同一です。しかし、従来型の「シグネチャでマルウェアを検出する」タイプのアンチマルウェア製品では、検出できないことが少なくありません。オリジナルのマルウェアとは、シグネチャが異なっているからです。

今回発見された亜種は自らをFBIと名乗り、ターゲットのマシンに違法コンテンツが存在し、それが原因でファイルを暗号化したと通知してきます。そして「指定電子メールアドレスでFBIに連絡して罰金を支払えば、ロック解除コードが入手できる」と誘導します。

しかし、この通知に記載されたメールアドレスは、当然ながらFBIのものではなく、「Proton Mail」という暗号化電子メールサービスのものです。このサービスはスイス連邦で運用されており、2021年5月時点で5000万人以上の利用者がいると言われています。

また、ホームページのURLも記載されていますが、ここにアクセスしようとしてもエラーになります。この攻撃がどこから行われているのかはまだ特定されていませんが、配布は「PayPal Checker.exe」という名称のファイルを使用して行われています。このファイル名は、PayPalアカウントの有効性をチェックするためのツールにつけられているものです。おそらくこの攻撃は、PayPalの利用者をターゲットにしているものだと思われます。
The Wise Guys ランサムウェア

このランサムウェアは、ターゲットのマシンのファイルを暗号化するのではなく、削除してしまう破壊性の高いものです。実行されると、以下のフォルダ内の全てのファイルが削除されます。

デスクトップ
ピクチャ
ミュージック
ドキュメント
スタートメニュー
お気に入り
クッキー
アプリケーションデータ

またファイルだけではなく、これらのフォルダや、バックアップであるボリュームシャドーコピーも消去します。これらのファイルやフォルダを復元する方法はありません。

このランサムウェアは脅迫のためのファイルを一部残し、そこには「マシン上のファイルが暗号化されており、取り戻す唯一の方法は500ドル相当のイーサリアム（暗号資産）を支払って、復号キーを入手すること」と記載されています。しかしファイルはすでに削除されているため、当然ながら身代金を支払っても、ファイルを復元することはできません。非常に悪質な攻撃と言えます。

●
"Pyschedelic" ランサムウェア

このランサムウェアは、一般的なランサムウェアと同様に、ターゲットのマシン上のファイルを暗号化し、身代金要求のノート（テキストファイル）を残します。このノートには、暗号化は「未知のアルゴリズム」で行われていると記載され、復号したければ電子メールで攻撃者に連絡するよう要求します。

しかしFortiGuard Labsが調べたところ、このランサムウェアはWindowsの「certutil -encode」コマンドを使用して、ファイルを暗号化していることが判明しています。つまり「未知のアルゴリズム」などではなく、すでに広く使われているアルゴリズムが使用されているのです。

身代金は150ドルと、ランサムウェアとしては低額と言えます。そのためターゲットは企業ではなく、一般消費者ではないかと推測できます。

なおランサムウェア名を"Pyschedelic" と“”付きで表記しているのは、これが「Psychedelic（サイケデリック：麻薬などがもたらす幻覚のこと）」のスペル違い（スペルミス？）となっているからです。もちろんこの名前は、攻撃者自身がつけたものです。いったいどのような意図があるのでしょうか？
Inlock ランサムウェア

このランサムウェアも、ファイルを暗号化して身代金を要求するという、典型的なランサムウェアです。暗号化されたファイルには「.inlock」というファイル拡張子が付けられ、「READ_IT.txt」というスペイン語で記載された身代金要求のメモが残されます。その内容を日本語に訳すと、以下のようになります。

あなたのコンピューターは暗号化されました！！ 非常に残念なことに、あなたはサイバー攻撃のターゲットになっています。あなたの個人データはすべて暗号化されています。身代金の交渉のために私に連絡してください。お支払いを確認次第、すべてのファイルを復号するためのツールを送らせていただきます。あなたが大きな価値のあるものを何も持っていないことを願っています ;)
なお、以下のコードをなくさないようにしてください。さもないと二度とデータを復元することができなくなります。

デスクトップの壁紙も、以下のように変更されます。

このランサムウェアの最大の問題は、攻撃者の連絡先が記載されていないことです。そのため、被害者は攻撃者に連絡できず、復号ツールを入手することもできません。また、ボリュームシャドーコピーも削除されるため、ファイルの復元はほぼ絶望的と言えます。
Xoristランサムウェアの新しい亜種

このランサムウェアはRaaS（Ransomware as a Service）によって提供されている、トロイの木馬型のランサムウェアファミリーです。RaaSとは、ランサムウェアの亜種を提供するサービスのことであり、その存在はランサムウェア攻撃が、すでに1つのビジネスモデルになっていることを示しています。亜種の提供形態としては、以前からある「販売モデル」だけではなく、収益の一部をRaaSと分かち合う「アフィリエイト型」も存在します。

Xoristランサムウェアは2016年には発見され、すでに6年もの間、存在しています。今回の亜種がどのようにターゲットに配布されているのか、まだ正確にはわかっていませんが、いくつかの手がかりはあります。

まず、実行ファイルの名前に「キューバ共和国の大統領および副大統領の法律」という意味の文字列が使われ、関連するサンプルも主にキューバから、2022年10月31日に「Virus Total」へと提出されています。Virus Totalとは、マルウェア検査のためのオンラインスキャンを行うWebサイトであり、ここにファイルやサイトのURLをアップロード（提出）することで、そこにマルウェアが含まれているかどうかを検証できます。

興味深いのは、Virus Totalから提出されたファイルの中に、前述の実行ファイルと同名のPDFファイルがあったことです。このPDFファイルには「キューバ共和国官報」と記載されており、マルウェアを含まない「良性の」ものでした。

つまり攻撃者は、キューバ政府発行の正規ファイルに見せかけた良性のPDFファイルと、ランサムウェア実行のためのファイルを同じ名前で拡散し、ターゲットをだましやすくすることを狙ったと考えられます。

なお、身代金は100ドルに設定されており、企業ではなく一般消費者がターゲットになっていることが推測されます。またInlockランサムウェアと同様に、デスクトップの壁紙も変更されます。その壁紙には攻撃者のビットコインウォレットのアドレスが記載されたQRコードが記載されていますが、2022年11月時点ではまだ1件の取引も記録されていませんでした。
○これらのランサムウェアについて、もっと詳しく知りたい方に

今回紹介したランサムウェアは、FortiGuard Labsが隔週で公開するブログシリーズ「Ransomware Roundup」のうち、以下の記事から選定し、フォーティネットジャパンのスペシャリストが概要を平易に解説したものです。より詳細な技術情報は、以下のページをご参照ください。
○FBIランサムウェアの亜種、The Wise Guys、Pyschedelic

「Ransomware Roundup：新型FBI、Wise Guys、「Pyschedelic」ランサムウェア」（Shunichi Imano and James Slaughter、2022年10月27日）
○Inlock、Xoristの新しい亜種

「Ransomware Roundup：InlockおよびXoristの新型亜種」（Shunichi Imano and James Slaughter、2022年11月10日）

○著者プロフィール

フォーティネットジャパン 寺下 健一（チーフセキュリティストラテジスト）、今野 俊一（上級研究員）、James Slaughter（Fortinet Senior Threat Intelligence Engineer）