ランサムウェア CryptowallのWindows10感染について、実際に感染して挙動を確認しました

上記記事のはてなコメントに「Windows 10ではランサムウェア対策されているので感染しないのでは?」というコメントが有りましたので、実際に検証してみました。検証日は2015/12/6夜から12/7未明にかけてです。

まずは、検証した環境を説明します。Windows 10 Pro x64エディションです。なおVMware Workstation上に構築しています。

f:id:cabvm:20151207020517p:plain

Windows Updateの実行状況。全て最新が当たっています。

f:id:cabvm:20151207020711j:plain

Windows Defenderは標準状態で、設定を触っていません。エンジンもウイルス定義ファイルも2015/12/7時点の最新です。

f:id:cabvm:20151207020812j:plain

f:id:cabvm:20151207020821j:plain

このWindows10環境に、下記のマルウェアをパスワード付き圧縮ファイルから解凍して、実際に駆除が行われるか確認しました。なお、ウイルス名はESETのつけている名前を表示しています。括弧内は実際のファイル名です。

  1. Win32/Bayrob.AE(julyan.exe)・・・Windows Defenderで駆除成功
  2. Win32/Dridex.Y(454sd.exe)・・・Windows Defenderで駆除成功
  3. Win32/Dridex.Y(seed.exe)・・・Windows Defenderで駆除成功
  4. Win32/Kryptik.EHDW(73.exe)・・・Windows Defenderで駆除成功
  5. Win32/Filecoder.EM(hvgfpxj.exe)・・・Windows Defenderで駆除成功
  6. Win32/PSW.Fareit.A(krt21.exe)・・・Windows Defenderで駆除成功
  7. Win32/PSW.Agent.NTM(st10.exe)・・・Windows Defenderで駆除成功
  8. Win32/TrojanDropper.Binder.NBH(ICryptex V3 Cracked.exe)・・・Windows Defenderで駆除成功
  9. Generik.LYPIDOL(1.exe)・・・Windows Defenderで検知せず。
  10. Suspicious Object(73.exe)・・・Windows Defenderで検知せず。

最後の2つだけ、Windows Defenderは反応しませんでした。最後の1つについては、ESETも「不審なファイル」と表示されるだけで、マルウェアの名前は表示されなかったため、新しいウイルスの可能性が高いです。

 

1.(9)の1.exeを実行してみる。

Windows10にログオンしてから、普通にダブルクリックして実行しました。.Net Framework 3.5のダウンロードが始まり、インストール後何らかの挙動があるかと期待しましたが、「1.exeは実行を中断されました」と表示されて、何も起きませんでした。パケットキャプチャや怪しいプロセスも無し。結果を見る限り、Windows10での動作は想定されていないようでした。

 

2.(10)の73.exeを実行してみる。

1.と同様にダブルクリックして実行しました。なお管理者として実行はしていません。結論から先に言うと、この実行ファイルはランサムウェアでした。Zip、Docx、Jpegファイルが、拡張子が「*.vvv」になりました。念のためBMP画像ファイルも置いていましたが、BMPファイルは噂通り暗号化されませんでした。Windows Defenderは何も言ってきません。また、ボリュームシャドーコピー(VSS)領域を触ろうとしてUACの許可画面が何度か出たので、復元ポイントを削除している可能性があります。

f:id:cabvm:20151207023025j:plain

下記のように、RSA-2048で暗号化したとの文章が表示されます。

f:id:cabvm:20151207023334j:plain

デスクトップにも、同じ内容が画像ファイルでありました。

f:id:cabvm:20151207023721j:plain

OS起動時に、しつこく案内ページが出て、料金(このランサムウェアの場合はBitcoin)を払うように要求してきます。なおユーザ作成フォルダの下にテキストファイルとHTMLファイルが保存される場合がありますが、これはESETではウイルス扱いされますので、開かないことをお勧めします。実際にこうなったらテキストファイルどころではないと思いますが念のため。

この感染で、「Windows 10でも感染します」「Windows Defenderがあるからといって、安心できない」ということがわかりました。セキュリティについては、世の中の噂はあまり当てにならないので、十分注意してください。

なおランサムウェアはデータを身代金にして金を取ろうとする犯罪です。犯罪者にはお金を渡さないようにしましょう。検索ページではランサムウェア買得業者なるものが出てきますが、こちらも、ランサムウェア仕掛けた側とどう繋がっているが不明なため、料金を払うのはやめておいたほうが良いです。

復旧方法は、バックアップからの復元以外では難しいです。お金を払って早期解決したい気持ちはわかりますが、犯罪者にお金を払うと、気を良くして更にランサムウェアをばら撒く悪循環に繋がるため、データをあきらめるしかないと考えてください。

ランサムウェアの感染経路に関してですが、広告サイトからの感染を確認しています。他にもスパムやメールによる標的型攻撃として利用されています。いずれにしろ怪しいファイル、特に実行ファイルはむやみに開かないようにしてください。

予防策は、まずは仕事に利用しているPCなら、必ず有料のウイルス対策ソフトを導入することです。学生さんは年額支払いが嫌だとは思いますが、ヒューリスティックスキャン機能があれば、無料のウイルス対策ソフトでもかまいませんので、導入を推奨します。ウイルス対策ソフトとWindows Defenderの差はヒューリスティックスキャンと更新頻度であり、この機能の有無で天地の差があると考えてください。決して、Windows Defenderだけでウイルス対策が行われているとは思わないでください。

また、最初のブログでも言及されていますが、Windows7、8.1からWindows10にバージョンアップした場合、ウイルス対策ソフトは必ず再インストールしてください。再インストールしないと、ウイルス対策Windows Defenderだけになる可能性があり、大変危険です。

最後に、Windows10に感染した「73,exe」のSHA1ハッシュを置いておきます。ファイル名が違っていても、同じSHA1のファイルがあった場合は絶対に開かないよう、お願いします。

<deleted>

※12/7 12:05追記

ランサムウェア拡散の悪影響を考慮して、ハッシュ値を削除しました。

※12/7 19:50

文章の乱れを修正しました。