トレンドマイクロは8月12日、同社の公式ブログ「セキュリティブログ」において、新たな暗号化型ランサムウェア「R980」を確認したとして、その仕組みと対策を解説した。
「R980」は、スパムメールあるいは改竄された Webサイトを経由して拡散することが確認されているという。ランサムウェア「Locky」「CERBER」「MIRCOP」と同様に、「R980」を拡散するスパムメールには不正なマクロを埋め込んだ文書ファイル(「W2KM_CRYPBEE.A」として検出)が添付されている。
不正なマクロは、特定のURL(hxxp:// bookmyroom[.]pk/assets/timepicker/f[.]exe)から「R980」をダウンロードし、「R980」が検出された7月26日以降、そのURLへの頻繁な接続が確認されているとのことだ。
「R980」は、151種類のファイル形式をAES-256とRSA-4096のアルゴリズムを組み合わせて暗号化する。暗号化したファイルに拡張子「.crypt」を追加するが、同じ拡張子を追加することで知られる暗号化型ランサムウェア「CryptXXX」の旧バージョンとそのほかに類似点はないという。
暗号化には、アプリケーション開発者が Windows用アプリケーションに暗号化機能を実装するために使うライブラリ「Cryptographic Service Provider(CSP、暗号化サービスプロバイダ)」が利用されている。
他の暗号化型ランサムウェアファミリである「Locky」と同様に、「R980」は「CryptAcquireContext」や「CryptGenerateRandom」のような暗号化サービスプロバイダの機能を利用し、ファイルの暗号化に RSA を用いる |
また、他の多くのランサムウェアと違い、「R980」は侵入後に自身を削除せず、以下のファイルを作成し「侵入の痕跡(Indicators of Compromise、IoC)」を残すという。
- rtext.txt: 脅迫状
- status.z: ランサムウェアの初回実行の IoC
- status2.z: 作成したコピーが実行された IoC
- k.z: ダウンロードした Base64 の復号データ
- fnames.txt: 暗号化したファイル名
「R980」はコマンド&コントロール(C&C)サーバと通信し、身代金の支払い用に設定されたビットコインアドレスを提供。犯罪者は追跡を避けるため、数時間後に自動的にメールが削除されるシステムの使い捨てメールアドレスサービス「Mailinator」を利用しており、同サービスを用いて、ファイル復号ツールへのリンクが保管されているとされる公開メールアドレスをユーザー用に作成する。
同社は、「R980」は従来のランサムウェアを寄せ集めて作成されているようなものとはいえ、不正なマクロや改竄された Webサイトが感染経路として利用されている点から、危険な脅威であることには違いないと指摘。対策として、Office文書のマクロは無効にし、未知の送信元からのメールは削除したうえで、バックアップの取得を推奨している。