2017年のランサムウェア開発の予測

私たちはそれぞれ独自の方法で2016年を思い出しました。 物理学者-アルバートアインシュタイン、政治家によって予測された重力波の発見-中東の紛争、ミュージシャン-ボブディランへのノーベル平和賞。 ITセキュリティ2016の分野のスペシャリストは、ランサムウェアの活動の驚異的な急増を思い出しました。ランサムウェアは、スペシャリストだけでなく、一般の人々も「 ランサムウェアとは？ 」







現在は2017年です。ランサムウェアまたはランサムウェアはさらに危険になり、ユーザーデータへの攻撃を続けることは間違いありません。 すべてのユーザーが危険にさらされ、あなたまたはあなたの友人が明日この脅威に直面するかもしれません。



「警告してから武装した」と私たちは考え、最新のランサムウェアプログラムの1つについて詳細な分析を行い、来年の小さな予測を準備しました。



ランサムウェアプログラムの詳細な分析という形で、予測と「甘い」から始めたいと思います。

• ランサムウェアの流行は指数関数的に増加し続けます。 2016年にランサムウェアがクリエイターに約10億ドルをもたらした場合、2017年にはこの金額は50億ドルに増加します。 ランサムウェアプログラムのさまざまなファミリの数は大幅に増加し、驚異的なスピードで新しい「株」が出現します。
  
  
  
  
• ランサムウェアは最も一般的なタイプのマルウェアの1つになり、その配布によって罰せられるリスクが減少するため、これは非常に収益性の高いビジネスになります。 セキュリティソフトウェアプロバイダーは、犯罪者との戦いを続ける必要があります。犯罪者は、これまで以上に多くの量と最先端のテクノロジーを自由に使いこなすことができます。
  
  
  
  
• 「ディストリビューター」の数は増え続けます。 ランサムウェアプログラムの原則の1つは、SaaS（サービスとしてのソフトウェア）モデルをコピーすることです。これは、ターゲットコンピューターへの感染を唯一の目的とする多数の小さな「ディストリビューター」を引き付けます。 「ディストリビューター」になるのは非常に簡単です。そのためには、コンピューターを所有し、ユーザーに利益をもたらすことで法律を破る準備ができている必要があります。 非常に単純なので、優れた技術的知識やマルウェアを作成する能力さえ必要ありません。
  
  
  
  
• ランサムウェアを配布するための技術は、さらに潜行的でcなものになります。 2016年の終わりに、これまでで最も独創的な配信スキームの1つが知られるようになりました。他の2人のユーザーにマルウェアが感染した場合、ユーザーは無料の復号化キーを与えると約束されました。 恐らく、犯罪者はこの考えを2000年代初期の人気ホラー映画である「指輪」から収集しました。 最も一般的なタイプの攻撃は、さまざまなフィッシング詐欺スキームのままであり、よりパーソナライズされた効果的なものになります。 ランサムウェアは、ブロッカーの代わりに暗号化をより頻繁に使用します。これは、ブロッカーが簡単に破られることを認識するユーザーが増えているためです。
  
  
  
  
• 2016年、データのバックアップコピーを保存するクラウドソリューションが、ローカルストレージを攻撃するランサムウェアから保護するために積極的に使用されるようになりました。 2017年に、ランサムウェアの新しいバージョンはクラウドでの動作を学習し、クラウドストレージを含む攻撃を開始します。 ユーザーは、このような攻撃からデータを保護できるクラウドプロバイダーを探す必要があります。
  
  
  
  
• また、被害者にデータの身代金を支払うよう圧力をかける新しい方法もあります。 現在、技術により、身代金のサイズを増やし、被害者が支払うまで1時間ごとにファイルを削除できます。 将来、ランサムウェアはさらに洗練されたものになるでしょう。 被害者が身代金をすぐに支払わない場合、機密情報（医療や金融など）の配布や公開、データの侵害（物語や親密な写真の検索）を脅かし始めます。
  
  
  
  
• 最初は被害者の支払いが速くなりますが、犯罪者が言葉を保持せず、身代金の解読キーを送信せず、攻撃を止めないことが明らかになった場合、この傾向はすぐに無効になります。
  
  
  
  
• ランサムウェア開発者は、すべてのセキュリティシステムをバイパスできる、より堅牢なコードの開発に引き続き多大な投資をするでしょう。 ランサムウェア開発者が最も信頼性の高い暗号化スキームを使用することを学習するため、無料の暗号解読プログラムを提供するセキュリティプロバイダーは少なくなります。
  
  
  
  
• ウイルス対策、ユーザーの注意と注意、ホワイト/ブラックリストおよびその他の保護ツールは、ランサムウェアとの戦いにおける制限をすぐに克服することはできません。 それにもかかわらず、新たな防御が出現し、機械学習は急速に発展するタイプのランサムウェアとの戦いにおいて重要な武器になります。
  
  
  
  
• ローカル、クラウド、オフラインのデータバックアップの定期的な作成など、厳格なデータ保護ルールへの準拠は、ランサムウェアに対抗する唯一の信頼できる手段です。

2016年は困難な年でしたが、少なくとも恐exプログラムは2017年には恐ろしい武器にはならず、有名人、政府機関、何百万人もの消費者を脅迫するのに成功しました。



さて、今、前に約束したように、デザートは「アクロニスからのコメントで味付けされたデリアロック」です。 このランサムウェアにはいくつかのバージョンがあります。 DeriaLockのクリスマスバージョンはBleepingComputerの Webサイトで言及されており、2016年12月26日にG-DataのKarsten Hahnが別の新しいバージョンを見つけました。 DeriaLockの最新バージョン（MD5： 0a7b70efba0aa93d4bc0857b87ac2fcb ）で注意をやめることにしました。 コンピューターをロックするだけでなく、ファイルを暗号化し、ユーザーがコンピューターを「クラシック」に再起動して問題を解決しようとすると、それらを削除することがわかりました。



DeriaLockランサムウェアは、クリスマスバージョンで初めて登場した画面ロック、ブロッカーエンコーダ、ファイル削除モジュールの3つの機能部分で構成されています。 画面ロックの動作のしくみに興味がある場合は、BleepingComputerに詳細情報がありますが、プログラムの最後の2つの部分であるブロッカーエンコーダーとファイル削除モジュールについて検討します。



DeriaLockは、Visual Basicで記述された難読化された.NETアプリケーションです。 過去数か月でVB.NET暗号化ブロッカーの数が大幅に増加したことに注意してください。これは、教育目的でプログラムのソースコードへのアクセスが開かれたためである可能性があります。



まず、DeriaLockには管理者権限と.NET Framework 4.5が必要であることに注意してください。 ユーザーアカウント制御が有効な場合、ユーザーはアクセスレベルの増加を確認するよう求められます。

暗号化機能

DeriaLockは、次のフォルダー内のAES-256対称暗号化アルゴリズムを使用してファイルを暗号化します。

• デスクトップ
• ダウンロード
• マイドキュメント
• 私の音楽
• 私の写真
• D：\

暗号化ブロッカーには複雑なパスワードが含まれており、256ビットのAES暗号化キーと16ビットの初期化ベクトルの計算に使用され、ランサムウェアにお金を払わずにファイルを復号化できます。



暗号化キーと初期化ベクトルを作成するために、DeriaLockはパスワードシリーズを変換します ハッシュの最初の32バイトは暗号化キー、次の16バイトは初期化ベクトルです。



暗号化プロセスが完了すると、ユーザーは次のメッセージを受け取ります。









次に、DeriaLockは、ファイルを回復してシステムをロック解除する方法に関するメッセージを表示します。 また、コンピューターを再起動して問題を解決しようとすると、すべてのファイルが削除される可能性があることをユーザーに警告します。

お支払い

他のタイプのランサムウェアとは異なり、DeriaLockはARIZONACODE Skypeアカウントに30 USD / EURの身代金を要求するため、この支払い方法を使用した最初のランサムウェアになる可能性があります。

C＆Cにお問い合わせください

支払いを行った後、DeriaLockは外部サーバーからファイル削除モジュール（MD5： 2a95426852af058414bbc9ca236208dd ）をダウンロードします。







1秒ごとに、プログラムは次の場所にあるファイルの内容をチェックします。

arizonacode.bplaced.net/HF/SystemLocker/unlock-everybody.txt

番号「1」がファイル内にある場合、DeriaLockはシステムのロックを解除します。ファイル「C：\ Users \％user％\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ LOGON.exe」を削除し、ファイル「Explorer。 exe」を閉じます。



ユーザーが提案されたフォームでロック解除キーを入力すると、DeriaLockは外部サーバーに接続し、ユーザーIDを含む名前の対応するtxtファイルがサーバー上にあるかどうかを確認します。次に例を示します。



http://arizonacode.bplaced.net/HF/SystemLocker/UNLOCKKEYS/f5515aff329218c79cac09122bd970f2.txt



そのようなファイルがある場合、プログラムはファイルからキーを読み取り、ユーザーがフォームに入力したキーと比較します。 2つのキーが一致すると、コンピューターのロックが解除され、ファイルが復号化されます。

ファイル削除モジュール

ユーザーがシステムを再起動することを決定した場合、システムの起動中にファイル削除モジュールがアクティブになります。

C：\ Users \％user％\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ LOGON.exe

また、実行するには管理者権限が必要です。

自己防衛

自身を保護するために、DeriaLockは次のプロセスを停止します。

• utilman
• procexp
• procexp64
• procexp32
• certmgr
• 制御
• cscript

システムが再起動すると、ロードされたファイル削除モジュールは次のプロセスも停止します。

• taskmgr
• 再編集
• msconfig
• cmd
• 探検家

ユーザーがAlt-F4キーの組み合わせなどを使用してランサムウェアプログラムを停止しようとすると、DariaLockはそのような試行をブロックし、次の皮肉なメッセージを表示します。

著者

明らかに、1人の開発者だけがDeriaLockの作成に参加したわけではありません。 分析中のバージョンには、ホワイトリストに追加のマシンがありますが、以前のバージョンでは使用できません。

ロックを解除して復号化する方法

前述したように、このマルウェアは最新バージョンであっても非常にシンプルなままであり、身代金を支払うことなくファイルを回復できます。 ただし、これにはある程度の知識とスキルが必要であることを強調したいので、以下に説明するアクションを実行するのはあなた自身のリスクとリスクになります。 エラーが発生した場合、すべてのデータが失われる可能性があることを警告します。



感染したシステムのブロックを解除するには、次のシナリオのいずれかに従ってください。



Windowsがセーフモードの場合：

1. コンピューターのハード再起動を実行します。
2. Windowsをセーフモードで起動します。
3. ファイルを削除します。
   
   
   
   

   C：\ Users \％user％\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ LOGON.exe

セーフモードがアクティブになっていない場合：

1. コンピューターのハード再起動を実行します。
2. BIOSを開きます。
3. バックアップシステムディスクを起動できる適切なデバイスをインストールします。
4. バックアップシステムドライブからコンピューターを起動します。
5. ファイルを削除します。
   
   
   
   

   C：\ Users \％user％\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ LOGON.exe

より安全な方法は、感染したコンピューターからのC＆C要求を傍受するプロキシサーバーを作成することです。

1. DNSレコードをローカルDNSサーバー「arizonacode.bplaced.net」にインストールします。これにより、すべてのトラフィックがローカルプロキシサーバーにリダイレクトされます。
2. サーバーのルートディレクトリ内に番号「1」のファイルを作成します。
   
   /HF/SystemLocker/unlock-everybody.txt

ファイルを復号化するには、次のシナリオのいずれかに従ってください。

1. 上記のパスワードシリーズとアルゴリズムを使用して、暗号化キーと初期化ベクトルを計算します。
2. 拡張子が「.deria」のすべてのファイルを復号化するスクリプトを作成します。

または

1. すべてのトラフィックをローカルプロキシサーバーにリダイレクトするローカルDNSサーバー「arizonacode.bplaced.net」にDNSレコードを設定します。
2. Webサーバーのルートディレクトリにランダムキーで次のファイルを作成します。
   
   
   
   /HF/SystemLocker/UNLOCKKEYS/<ID>.txt
3. 同じキーをフォームに入力し、「送信」をクリックします。

Acronis Active Protectionで安全に

Acronis Active Protectionは、DeriaLockランサムウェアからシステムを検出して保護できます。 Acronis True Image 2017 New Generationで最初に使用されたこの革新的なテクノロジーは、動作ヒューリスティックに基づいており、DeriaLockの悪意のあるアクティビティを簡単に認識して停止します。 また、ユーザーは影響を受けるファイルを自動的に回復できます。



→ Acronis Active Protectionの詳細