PyLocky は Python で記述されたランサムウェア ファミリで、Locky の亜種を模倣したものです。このランサムウェアは被害者のマシン上のすべてのファイルを暗号化してから、復号されたファイルと引き換えにユーザに身代金を要求します。このランサムウェアに対処するため、Cisco Talos は無料の復号ツール をリリースします。このツールは、感染したマシンの PyLocky とコマンド&コントロール(C2)サーバ間の最初のトラフィックをキャプチャしておく必要があるため、感染したマシンのネットワーク トラフィックをモニタリングしている場合にのみファイルを復元できます。最初の C2 トラフィックがキャプチャされていない場合、この復号ツールは感染したマシン上のファイルを復元できません。これは、マルウェアが暗号化プロセスで使用する情報を最初のコールアウトを使って C2 サーバに送信するからです。
PyLocky は実行されると、ランダムなユーザ ID とパスワードを生成し、WMI ラッパーを使用して感染したマシンに関する情報を収集します。さらに、ランダムな初期化ベクトル(IV)を生成して、それを base64 でエンコードし、PyLocky が収集したシステム情報と一緒に C2 サーバに送信します。PyLocky は、システム上のすべてのファイルの絶対パスを取得してから、暗号化アルゴリズムをコールして、IV とパスワードを渡します。各ファイルは暗号化される前にまず base64 でエンコードされます。マルウェアは、暗号化するそれぞれのファイルに「.lockedfile」という拡張子を追加します。たとえば、「picture.jpg」というファイルは「picture.jpg.lockedfile」となります。元のファイルは、攻撃者の身代金要求メモでその後上書きされます。
PyLocky の身代金要求メモの例です。
Talos では、攻撃者が要求する身代金を決して支払わないようユーザに呼びかけています。支払っても暗号化されたファイルを復元できるケースはほとんどないからです。このランサムウェアの被害者は、ファイルを復号できない場合、バックアップから復元する必要があります。2017 年 6 月の Nyetya 攻撃 で見られたように、身代金を要求する攻撃者がデクリプタを提供するために必要な被害者とのコミュニケーション手段を持たない事例を、Talos は数多く確認しています。無料の復号ツールはこちらから ダウンロードできます。
侵害の兆候
ドメイン名
centredentairenantes [.]fr
panicpc [.]fr
savigneuxcom.securesitefr [.]com
ハッシュ
1569F6FD28C666241902A19B205EE8223D47CCCDD08C92FC35E867C487EBC999
2A244721FF221172EDB788715D11008F0AB50AD946592F355BA16CE97A23E055
87AADC95A8C9740F14B401BD6D7CC5CE2E2B9BEEC750F32D1D9C858BC101DFFA
C9C91B11059BD9AC3A0AD169DEB513CEF38B3D07213A5F916C3698BB4F407FFA
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープン ソースの SNORTⓇ サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
本稿は 2019年1月10日に Talos Group のブログに投稿された「ylocky Unlocked: Cisco Talos releases PyLocky ransomware decryptor」の抄訳です。