Cerberランサムウェアとは？ファイルの復元と対策

Cerberランサムウェアは、2016年3月に発見されました。RaaS（Ransomware as a Service）型マルウェアであるため、ハッキングやコーディングのスキルがなくても誰でも導入することが可能です。ランサムウェアの被害者を恐喝して得た金銭は、RaaSの顧客とマルウェア開発者の間で分配されます。ランサムウェアは、暗号学的に安全な暗号でファイルを暗号化し、被害者に身代金を支払って暗号化されていないファイルを取り戻すことを強要します。

Cerberランサムウェアの最初の攻撃は、フィッシングメールから始まります。このメールには、zip圧縮されたDOTファイルが含まれています。DOTファイルはパスワードで保護されており、マルウェアをローカルマシンに展開するために使用される悪意のあるマクロが含まれています。Cerberの別のバージョンでは、フィッシングメールに添付されたWSF（Windows Script File）を使用して、マルウェアをローカルデバイスにインストールします。

Cerberの最初のDOTバージョンでは、DOTファイルのパスワードがフィッシングメールに含まれています。DOTファイルは、マクロを含むことができるMicrosoft Wordのテンプレートです。ユーザーがこのファイルを開き、パスワードを入力すると、ウィンドウの上部にある「コンテンツを有効にする」という警告メッセージをクリックするようメッセージが表示されます。このボタンをクリックすることで、ユーザーは悪意のあるマクロをローカルデバイス上で実行することを可能にします。

CerberのWSFバージョンでは、ユーザーはスクリプトファイルを開くように促されます。このファイルを開くと、ユーザーはスクリプトを実行し、ランサムウェアをローカルデバイスにダウンロード、インストールします。フィッシングメールには、WSFスクリプトを含むZIPファイルのダウンロード場所を示す「登録解除」リンクも含まれています。

ユーザーがマルウェアをインストールすると、Cerberはまずローカルデバイスの国別ロケーションをスキャンします。ユーザーのデバイスの国がアルメニア、アゼルバイジャン、ベラルーシ、ジョージア、キルギスタン、カザフスタン、モルドバ、ロシア、トルクメニスタン、タジキスタン、ウクライナ、ウズベキスタンのいずれかである場合、ランサムウェアは自動的にアクティビティを停止し、終了します。デバイスの国がこれらの国のいずれでもない場合、Cerber は自身をインストールしますが、システムが再起動するまでファイルは暗号化されません。

Cerberの初期実行は、ユーザーがしばらくアイドル状態であった後に実行され、Windowsのスクリーンセーバーを実行します。また、偽のシステム警告を表示し、ユーザーにシステムの再起動を強制します。システムが再起動すると、Cerberはまず「セーフモードとネットワーク」を有効にして起動するように強制します。その後、標準の Windows サービスで再び再起動するよう強制します。

デバイスが標準的なWindowsに再起動されると、Cerberは暗号化プロセスを開始します。442種類のファイルを暗号化し、マッピングされていない共有ドライブを検索します。Cerberは、暗号学的に安全なAES-256（対称）およびRSA（非対称）の暗号を使用します。Cerberの新しいバージョンでは、このプロセスにボットネット機能が追加され、ローカルデバイスが分散型サービス拒否（DDoS）攻撃の参加者となることに注意してください。

暗号化後、Cerberは「DECRYPT MY FILES」という名前で3つのファイルをローカルデバイスに保存し、支払いの指示を出します。1つのファイルには、ユーザーのファイルが暗号化され、それを返すには支払いが必要であることを説明する音声が含まれています。ユーザーは、「Tor」をダウンロードし、それを使って攻撃者の.onionサイトを開き、そこで支払いを行うよう指示されます。

攻撃者は、自分たちの成功を最大化できるように、高すぎない身代金額を決定します。Cerberの最初の身代金は約500ドルで、支払いはBitcoinで行われました。

Cerberランサムウェアは、多くのランサムウェアと同様に、フィッシングメールから始まります。例えば、フィッシングメールは、請求書が添付されており、ファイルを開くと支払い方法が記載されていることを通知する場合があります。 WSFスクリプトが添付されている場合、Cerberランサムウェアがインストールされます。Microsoft DOTファイルが添付されている場合、ユーザーはランサムウェアをダウンロードおよびインストールするために、まずマクロを有効にする必要があります。

また、悪意のあるWebサイトでマルウェアをダウンロードしたり、マルバタイジング（マルウェアのダウンロードを促す悪意のある広告）や様々なマルウェアを含む悪意のあるパッケージを実行したりした後に、Cerberランサムウェアをインストールすることもあります。しかし、主な攻撃経路はフィッシングです。このマルウェアは、RaaSとして配布されるため、送信者アドレスは変動します。

他のランサムウェアと同様に、Cerberはアラートとメモを使ってファイルが暗号化されたことを被害者に知らせます。Cerberは、被害者のコンピュータにスクリーンセーバーとして警告を表示して注意を引き、保存されたテキストファイルを使って指示を出します。Cerberの一部のバージョンでは、__$RECOVERY_README$__.htmlというHTMLファイルをドライブに保存したり、「DECRYPT MY FILES」というテキストファイルを使って被害者に警告を発したりします。

壁紙やファイルのアラート以外に、デバイスが影響を受けていることを示すもう一つのサインは、ファイルの拡張子が「.locked」であることです。Excelスプレッドシートの拡張子が「.xlsx」である代わりに、スプレッドシートファイルの拡張子が「.locked」になります。Cerberは400以上のファイルタイプを暗号化するため、個人的な画像を含むすべての重要なファイルが暗号化されます。

Cerberランサムウェアのファイルを削除することは可能ですが、ファイルを復号化することは不可能です。Cerberは暗号学的に安全なAES-256とRSAアルゴリズムを使用しているため、ファイルを復号化する唯一の方法は鍵です。支払い後に鍵が提供される保証はないため、専門家は身代金を支払うことを勧めていません。しかし、中には自暴自棄になって身代金を支払ってしまう被害者もいます。

ファイルがすでに暗号化されている場合でも、これ以上ファイルが暗号化されないようにするためには、直ちにCerberを削除することが重要です。Cerberをシステムから削除するには以下を行います。

1. コンピュータを再起動し、Windowsを「セーフモードとネットワーク」で起動することを選択します。このモードでは、Windowsの機能は制限されますが、インターネットへのアクセスは可能です。
2. ウイルス対策ソフトを開き、コンピュータをスキャンさせます。効果的なアンチウイルスアプリケーションは、Cerberを検出し、システムから削除します。

Cerberランサムウェアがファイルを暗号化した後、ファイルを復号化することは不可能です。暗号学的に安全なアルゴリズムで暗号化されたデータを復号化する唯一の方法は、鍵を使用することです。Cerberランサムウェアの作者は身代金の支払いと引き換えに鍵を提供しますが、専門家は、身代金を支払っても鍵の受け取りが保証されないと警告しています。被害者の中には、身代金を支払うしかないと感じている人もいます。

ランサムウェア攻撃を修復するための唯一の解決策は、バックアップファイルを復元することです。個人または組織は、安全な場所にファイルのバックアップを保管しておく必要があります。Cerber を含む一部のランサムウェアは、バックアップファイルを暗号化します。バックアップファイルが暗号化されないようにするには、クラウドストレージまたは標準的なユーザーがアクセスできないリムーバブルドライブを使用します。

Cerberはフィッシングメールから始まるため、従業員や個人は悪質なメールの兆候を理解する必要があります。しかし、Cerberランサムウェアのインストールを開始する主な形態は、フィッシングメールに添付されたファイルです。添付ファイルは、WSFスクリプトファイルや悪意のあるマクロを含むMicrosoft Word文書である可能性があります。どちらのファイルも、メールセキュリティフィルタからの検出を避けるために、ZIPアーカイブになっています。

最初の攻撃でMicrosoft Word文書を使用する場合、標的となるユーザーは悪意のあるマクロの実行を許可する必要があります。Microsoft Officeの現在のバージョンでは、ユーザーが特にこの機能をオフにしない限り、マクロの自動実行はオフになっています。 Office文書からマルウェアがインストールされる被害を避けるためには、このセキュリティ機能を無効にしてはいけません。

メールセキュリティソリューションはフィッシングメールをブロックするのに役立ちますが、巧妙な攻撃は一般的なセキュリティコントロールを回避することもあります。ユーザーは、知らない送信者からの添付ファイルを開くことを避け、スクリプトやバイナリを開いたり実行したりしないようにする必要があります。検証済みの既知の送信者からの文書でない限り、マクロの実行は避けてください。

ユーザーは、不審な電子メールメッセージにあるリンクをクリックしないようにしてください。フィッシングの中には、攻撃者がハッキングしたメールアカウントを使い、ハッキングされたアカウントの連絡先リストに悪意のあるメッセージを送信するものがあります。このような場合、組織で効果的なセキュリティ意識向上トレーニングプログラムを実施することが有効な方法となります。

既知の送信者からのものであっても、リンクをクリックする際には、デバイス上でウイルス対策ソフトウェアが実行されていることを確認しましょう。不審なメールや差出人不明のメールにあるリンクはクリックしないでください。

ランサムウェアの攻撃に備えて、常にファイルのバックアップを頻繁に取ってください。バックアップは、ランサムウェアから復旧するための唯一の手段です。バックアップは、ランサムウェアがマッピングされた、またはマッピングされていないドライブをスキャンしてアクセスできない安全な場所に保存する必要があります。例えば、クラウドストレージは安全なバックアップ先と言えます。

マルウェアにはコーディング作成者を必要とするため、ほとんどの攻撃ではランサムウェアの構築方法を理解している人によるプログラミングが必要です。しかし、CerberはRaaSとして販売されており、フィッシング、マルウェアのインストール、支払いのすべてをコーディング能力のない人に提供しています。RaaSは誰でも攻撃者になれるので、Cerberは他のマルウェアよりも人気があります。

Cerberの作者は、初期のランサムウェアに様々な追加攻撃を加えています。初期のマルウェアは、他のランサムウェア製品と同様にファイルを暗号化しますが、Cerberは現在、ボットネット機能を備えており、RaaSの顧客がそれを使用してDDoS攻撃を行うことができます。効果的なDDoSには複数の感染デバイスが必要であり、RaaSはボットネットの所有者に、被害者から金銭を脅し取る便利な方法を提供します。

2021年にランサムウェアのインシデントが増加し、引き続き攻撃の手段として人気が高まっています。Cerberは、Ryuk、SamSamと並んで、2021年のランサムウェアの亜種のトップ3に入りました。研究者は、2021年に5250万件のCerber攻撃を確認しましたが、Ryukの9390万の実例が勝りました。しかし、研究者は、2022年にCerberがRyukよりも急速に普及すると警告しています。

ランサムウェアは世界的な攻撃ですが、Cerberは特定の国に対して発動するわけではありません。たとえあなたの国が除外リストに載っていたとしても、Cerberやその他のランサムウェアを回避するための予防策を講じる必要があります。Cerberの最近のバージョンは、Office 365のセキュリティを回避するように作られているため、Microsoft Officeのユーザーに焦点を当てています。

米国とヨーロッパの2つの地域は、最も標的とされています。ほとんどのランサムウェアの作者は、特定の地域をターゲットとし、マルウェアの検出やセキュリティを回避するためにランサムウェアを構築しています。Cerberは、身代金の金額が少ないことからもわかるように、主に個人をターゲットにしています。組織を狙うランサムウェアは、数千から数百万円の身代金の支払いを要求することがあります。

電子メールのセキュリティが確保されていないと、個人でも組織でもランサムウェアの被害者になる危険性があります。在宅勤務者がいる組織では、データにリモートアクセスできるユーザーは、家庭用コンピューターで企業レベルではない脆弱なセキュリティを使用するため、組織が攻撃のリスクにさらされることになります。

企業組織は当社のTAP（Targeted Attack Protection）を使用して攻撃を阻止することができます。これは、フィッシング、悪意のあるメール、攻撃者が管理するWebアプリケーションを指すURL、添付ファイル、その他のクラウドベースの脅威から守るための効果的な方法です。Cerberやその他の高度なセキュリティ脅威の詳細については、ランサムウェアハブをご覧ください。