ページの本文へ

Hitachi Logo
earth icon
    mail icon お問い合わせ
    Hitachi Global
    Hitachi Global

    HIRT-PUB17004:ランサムウェア

    -仮想体験デモ(3)-

    更新日: 2017年10月10日

    English

    ランサムウェア (Ransomware) は、パソコンをロックしたり、パソコン内のファイルを人質にとったりする不正プログラムの総称です。 ただ、ランサムウェアという用語を知っていても、実際パソコン内でどのようなことが起きるのかあまり実感がわかない方も多いかと思います。 そこで、HIRT-PUB17004 では、2016年末に報告された日本語メールでのランサムウェア拡散事例について紹介したいと思います。

    1. ランサムウェア拡散事例

    2016年末に報告された事例は、マルウェアに感染しているので、除去ツールをダウンロードし、マルウェアを除去するよう促すメールが流れたというものです。 メールに添付されていたファイルは、「マルウェア (VAWTRAK) 除去ツール .zip 」「 VIRUS REMOVAL TOOL.zip 」というような除去ツールを思わせる名称ですが、ファイルの実態は、パソコン内のファイルを人質にとったりする不正プログラムであるランサムウェアでした。

     

    トレンドマイクロ
    日本語メールでのランサムウェア拡散事例「マルウェアへの感染者に対する注意喚起」を偽装 (2016年11月10日)
    http://blog.trendmicro.co.jp/archives/14009

     

    トレンドマイクロ
    2016年10月から継続して確認される巧妙な日本語メールと頒布されるランサムウェアを解析 (2016年11月21日)
    http://blog.trendmicro.co.jp/archives/14066

    1.1 MISCHA

    MISCHA は、2016年 5月に確認されたランサムウェアです。 2016年10月末に、「【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起および除去ツールの配布について」というメール件名で配布されました。

     

    総務省
    マルウェア感染に係る注意喚起および除去ツールの配布に関する不審なメールにご注意ください。 (2016年10月31日)
    http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000251.html

     

    トレンドマイクロ
    RANSOM_MISCHA.E
    https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/RANSOM_MISCHA.E

    1.2 STAMPADO

    STAMPADO は、2016年 7月に存在が確認されたランサムウェアです。 2016年11月上旬に、「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起および除去ツールの配布について」というメール件名で配布されました。

     

    総務省
    コンピューターウィルス感染に係る注意喚起および除去ツールの配布に関する不審なメールにご注意ください。 (2016年11月14日)
    http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000252.html

     

    トレンドマイクロ
    RANSOM_STAMPADO.A
    http://about-threats.trendmicro.com/malware.aspx?language=jp&name=RANSOM_STAMPADO.A

    2. 仮想体験デモ

    仮想体験デモは、Flash ファイルのムービーをアニメーション GIF ファイルに変換したものを提供しています。デモを開始することにより、実際のウイルス感染活動が発生するわけではありませんので、ランサムウェアの動きについて体験してみてください。

    2.1 MISCHA

    仮想体験デモは、メールで指示されていたサイトからダウンロードしたファイル「 Malware(VAWTRAK)Removal Tool.zip 」から除去ツールを取り出した後、実行してしまったというシナリオで構成しています。 今回仮想体験デモで実行した MISCHA は、途中でコンピュータへの変更の許可を求めるダイアログを表示します。 ここで、管理者のパスワードを入力して「変更を許可する」を選択してしまうと、ハードディスクを暗号化し始めます。その結果、OS が立ち上がらない状態となってしまいます。 また、「変更を許可しない」を選択した場合には、ファイルを暗号化し始めるというものでした。

    HIRT-PUB17004:仮想体験デモ:ランサムウェア MISCHA

    2.2 STAMPADO

    仮想体験デモは、メールで指示されていたサイトからダウンロードしたファイル「 VIRUS REMOVAL TOOL.zip 」から除去ツールを取り出した後、実行してしまったというシナリオで構成しています。 今回仮想体験デモで実行した STAMPADO は、ファイルを暗号化した後、「期限が 4 日 (96 時間) で、6 時間毎に1ファイルを削除するという」警告ダイアログを表示します。 また、期限が過ぎると、警告ダイアログは消え、暗号化されたファイルの復元ができなくなるというものでした。

    HIRT-PUB17004:仮想体験デモ:ランサムウェア STAMPADO

    本仮想体験デモは、総務省実証事業「サイバー攻撃解析・防御モデル実践演習の実証実験の請負」の成果の一部です。

    3. 参考情報

    3.1 検体情報

    MISCHA
    SHA256:1b5c6395c313ce4f5e0c204c97cb2b8e38549174f48fc456fe88300fcba76f12
    MD5:deabf1507ac66ef7a5588cfe56248888

     

    STAMPADO
    SHA256:633f8ce9e635fcb82d1fdd9f225c832607d0b68fbdb5fc1bf3f11b05c7499be8
    MD5:0cb4b46085e6ec2ef5194f99021d3af7

    3.2 関連情報

    仮想体験デモ(1):HIRT-PUB09002:ウイルス添付メールの今と昔
    https://www.hitachi.com/ja-jp/hirt/publications/hirt-pub/hirt-pub09002/

    仮想体験デモ(2):HIRT-PUB09003:USBメモリの自動再生/自動実行

    https://www.hitachi.com/ja-jp/hirt/publications/hirt-pub/hirt-pub09003/

    仮想体験デモ(4):HIRT-PUB17009:WannaCryによるネットワーク感染の様子

    https://www.hitachi.com/ja-jp/hirt/publications/hirt-pub/hirt-pub17009/

    HIRT-PUB16001:ランサムウェア

    https://www.hitachi.com/ja-jp/hirt/publications/hirt-pub/hirt-pub16001/

    4. 更新履歴

    2020年10月23日

    • 仮想体験デモ:Flash ファイルのムービーをアニメーション GIF ファイルに変換したものに変更しました。

    2017年10月10日

    • 検体情報を追記しました。

    2017年02月08日

    • このページを新規作成および公開しました。

    担当:寺田、大西