週末にかけてランサムウェア(身代金要求ウイルス)がニュースで取り上げられたりして話題になっていました。
タイムリーなことに(?)社内の検知網にひっかかったランサムウェアの検体をゲットしたので、自宅の評価環境で感染したら実際どうなるのかを観察してみました。
ランサムウェアの名前は「Spora」
史上最も洗練されたウイルスと呼ばれているそうです。
期待に胸が高まります。何がどう洗練されているのでしょうか。
準備
準備した環境はこんな感じです
Windows7 64bit SP1
人質(人じゃないですが)用として写真ファイルとofficeファイル(なんちゃって個人情報)を入れてみました。
このランサムウェアは攻撃者と鍵を交換して暗号化するらしいのでインターネットに繋がってる必要があると考えて回線も準備しました。
(同NWに他の端末が繋がっていると2次感染が起こる可能性があるので注意)
パケットキャプチャもすれば良かった。忘れてました。
気が向いたら今度やります。
ウイルス実行
Sporaを実行すると、CPU負荷がやたら高くなってほどなくファイルが暗号化されてて開けなくなってました。
ファイル名に変化がなかったのでビフォーアフターで比べてみます。
jpgが開けない
Excelが文字化け
上記のExcelをバイナリエディタで開くと暗号化前は一部情報が読み取れるのに暗号化後は完全に読めなくなっていることがわかります。
ちなみに全部が全部というわけではなくて特定の拡張子のみをターゲットにしてるみたいです。
※暗号化のターゲットになるらしい拡張子
.1cd .7z .accdb .backup .cd .cdr .dbf .doc .docx
.dwg .jpeg .jpg .mdb .odt .pdf .psd .rar .rtf .sqlite
.tiff .xls .xlsx .zip暗号化されたファイルがあるフォルダには新しくhtml(ランサムノート)ができていて、たたくと金銭支払いサイトへの入り口ページへ飛ばされます。
せっかくなのでいけることまで行ってみます。
Click hereのところに暗号化されてしまったファイルを1個なんでもいいので突っ込むと被害者それぞれにIDが振られてお客様(?)専用のお支払いサイトに遷移しました。
洗練されたお支払いサイト
面白いことにお支払い金額に応じていくつかメニューが準備されています
- フルリストアで280$
- 二度と感染しないようにするのに30$(意味ある?)
- ウイルスを消すのに30$
- ファイルの復元に40$(③④の合わせ技と①の違いは不明)
- 今なら3ファイルまで復号無料!
そうです。たぶん①がメインで②~④がオプションですかね?
お客様のニーズにあったメニューを整備しソリューションを提供する姿勢は営業として見習わないといけないと思いました(?)
右側にチャットスペースもあって犯人グループに直接お問い合わせができるというサポートの手厚さ。
最近は犯罪者も顧客満足度向上に取り組む時代なのですねー。
聞いてみたけど日本語はしゃべれないそうです。
ちなみに、お支払いはビットコインでするのが一般的みたいです。
お試し復号キャンペーン?を試す
3ファイルまで無料で復号してくれるみたいなのでお試しします。
これは「ちゃんとお金を払ってくれさえすれば復号できる準備ができているんですよー(だからお金払ってね)」って証明するために
犯人グループがやっているサービスの一環と思われます。
3Freeのところを選んで、復号したいファイルをアップロードするとこんな感じで別のファイルがダウンロードできるようになります。
jpgとExcelファイルでそれぞれ試しました。
jpgファイルについては、復号されたファイルそのものがダウンロードできましたがExcelファイルについてはそのものじゃなくて
何か中身のプレビュー?が送られてきました。
ドラマとかで見ますけど、人質が無事なことを証明するために
電話で声だけ聞かせるみたいなのありますよね?たぶんあれです。
よく考えられてますねー!なるほどー!
お金を払う気はないので、私ができるのはここまでです。
そっとブラウザを閉じてPCを再インストールしました。
観察日記まとめ
ランサムウェアを使ったビジネスがあるというのは知っていたのですが、サポートするだとか、お試しできるようにしておくとか、フルリストアでも280$という安めの値付けとか、ダークサイドビジネスの一端を垣間見ることができました。
そもそも感染しないのが一番いいですが、100%のセキュリティというものは存在しないので、ランサムウェアに関しては日々のバックアップが一層重要だなと思います。
皆さんもご注意を~
