こんにちは、BackStore チームです。
本日はおやすみをいただいている方も多いのかと思います。
お休み中にはあまり考えたくないかもしれませんが、今回は神戸大学も被害にあった zepto ウィルスについてお伝えします。
その1. zepto ウィルスとは?
2016年6月27日に発見されたランサムウェアです。
登場するや、大々的なスパムキャンペーンを展開し、4日間で 130,000 通のメールを拡散しました。
なお、日本でランサムウェアが注目されるきっかけであったと言っても過言ではない Locky (当ブログ8/記事参照)との類似点も指摘されています。
参照:Talos blog 2016/6/30
その2. Locky との類似点
まずその大々的なスパムキャンペーン、RSA 暗号鍵によるファイルの暗号化などの手法の点で多くの共通点が見られます(参照:トレンドマイクロ「LOCKY」に関連したランサムウェアの亜種を確認)。
またその他にも、コードが酷似している( Locky のコードに新たな要素を追加したものが Zepto という印象のようです / 参照:security affairs 2016/7/7 )など、多くの共通点があることから、Zepto と Locky を同一視する流れもあります。
なお、Zepto の身代金要求額は Locky の数倍の 3 bitcoins (約18万円)です。
その3. Zepto の進化
他のランサムウェアと同じく、Zepto も日々進化を続けています。
3-1. VSS の削除
ランサムウェアが企業をターゲットにしてから、Volume Shadow Copy Service は身代金獲得を邪魔する「敵」と認識されています。多くのランサムウェアが VSS 内のファイルを削除しますが、Zepto も例外ではありません。
3-2. Zepto の進化 – ファイル形式の変更
zepto は当初、Java Script ファイルファイルを添付していました。が、8月に入り、Windows Script Files ファイルへと変わりました。(参照:bleeping computer 2016/8/1)
細かい変更、と思われるかもしれませんが、この変更のおかげで、Zepto はより自身を無害なレポートや見積もり、宅配情報のメールだと思わせることができるようになりました。
3-3. Zepto の進化 – オフラインでの暗号化
通常のランサムウェアだと、暗号化を実行するために、攻撃者側のコマンド&コントロールサーバ(C&C サーバ)へ接続する必要があります。ですが Zepto はあらかじめ暗号化のための RSA 鍵を内蔵しているため、サーバへ接続する必要がありません。
ランサムウェアの侵入を感知したらとりあえずネットワークをオフにするという対策が効かなくなるわけです。
3-4. Zepto の進化 – ファイルの優先順位付け
Zepto は賢いランサムウェアですから、闇雲にファイルを暗号化するなんてことはしません。
拡張子ごとに 7 段階の優先順位づけを行います。
感染後、まずは対象範囲内のファイルをスキャンし、拡張子とファイルの容量に応じて優先順位づけをし、パスとともにリスト化していきます。無論、軽い容量のものから暗号化されていくわけです。
その4. 最後に
Zepto に身代金を支払う企業が多ければ多いほど、Zepto の開発資金は潤沢になり、さらに進化を続けるでしょう。また、このような企業を狙った攻撃や大々的なスパムキャンペーンが優れた費用対効果を持つということが犯罪集団に認知されれば、ランサムウェアはより世界中に、より広範囲に広まっていくでしょう。
そうならないためにも、身代金を支払わないための対策が必要です。
パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse
