CryptoWallとは？4.0と他のバージョンとの違い

2015年に研究者によってCryptoLockerが停止された後、マルウェア作者はCryptoLockerのコードを取り出し、CryptoWallと名付けられた新しい形態のランサムウェアに変換しました。当初はHTTPを使用してC＆Cサーバと通信する単純なランサムウェアとしてスタートしました。HTTPを使用していたため、研究者はCryptoWallのパターンを特定して停止させることができ、それがCryptoWall 2.0につながりました。

CryptoWallは2015年以降、いくつかのバージョンを経ており、新しいバージョンが作られるたびに、セキュリティ防御を回避するための機能が追加されています。CryptoWallは現在バージョン4.0ですが、新しいバージョンが出るたびにユーザーからお金を強要する機能が追加されています。最新のCryptoWall 4.0は2021年末にリリースされており、新バージョンが定期的にリリースされる可能性があると考えるのが妥当でしょう。

CryptoWallの一部の機能は、バージョン間で存続しています。CryptoWall 4.0は、2015年のオリジナル版から最も多くの変更が加えられた最新版です。ランサムウェアの一般的な機能は、ユーザーのファイルを暗号化して復元できないようにすることですが、修復を特有に難しくしているところが、作者の戦略です。CryptoWallのインシデントではバックアップを使用したリカバリが唯一の解決策ですが、CryptoWallはバックアップを検索して同様に暗号化します。

最初の攻撃は、他のランサムウェアのキャンペーンと似ています。標的となる被害者は、悪意のあるリンクが記載されたフィッシングメールを受け取ります。このリンクは、攻撃者が管理するドメイン上のURLを指し、ユーザーはそのサイト上でマルウェアのダウンロードに同意しなければなりません。マルウェアは、スクリプト、実行ファイル、または悪意のあるマクロを使用してダウンロードされる場合があります。一般的に、ダウンローダーファイルは、ランサムウェアの実行ファイルが保存されている、攻撃者が管理するドメインに接続します。

ダウンローダーは、ランサムウェアファイルをローカルマシンに転送し、実行します。この時点で、CryptoWallはローカルマシンをスキャンし、約150種類のファイル拡張子を検索します。一致するファイル拡張子を持つファイルはすべて暗号化され、CryptoWall 4.0はファイルの内容に加え、ファイル名も暗号化します。このランサムウェアは、Windowsオペレーティングシステム、特にexplorer.exeとsvchost.exeプロセスに自身を埋め込みます。また、スタートアップ修復機能など、バックアップやリカバリのための機能を無効化し、復旧の可能性を潰すことも目的としています。

ファイルのバックアップを修復または復元するためのWindowsの機能である、ボリュームシャドウコピーはすべて破壊されます。CryptoWallは次に、マッピングされたドライブをスキャンし、それらも暗号化します。秘密鍵が生成され、マシンのアーキテクチャ、IPアドレス、ランサムウェアの権限レベル、Windowsのバージョンなどの情報とともにC＆Cサーバに送信されます。

ペイロードが配信されると、CryptoWallは次に、身代金の支払いやファイルの回復に関する指示を記載したテキスト版およびHTML版のランサムノートを含む3つのファイルをローカルマシンに保存します。ユーザーは「Tor」ブラウザをダウンロードして、特定のサイトにアクセスし、身代金を支払ってファイルを復元するよう指示されます。専門家は、被害者が秘密鍵を受け取れる保証がないため、身代金の支払いに応じないよう助言しています。しかし、多くのユーザーはファイルを取り戻すために身代金を支払っています。