1. CrySISとは
CrySISはDharmaとしても知られるランサムウェアです [1].CrySISは,攻撃者がリモートデスクトッププロトコル(RDP)経由で直接実行するマルウェアであることが知られていて,2016年に登場してから現在に至るまで利用されています.現在はソースコードが流出・公開されており,攻撃者が目的に合わせてカスタムするため,多くの亜種が作成され,被害が継続して発生しています.
libraryライブラリー
レポート
STARDUSTを用いたCrySISの解析
本記事では,CYNEX Co-Nexus Aの解析活動の一環としてマルウェア検体CrySISを解析した結果を紹介します.
2. 解析結果の概要
我々が入手し,解析したCrySISの感染フローを以下の図に示します.
本検体は,実行後に自身の複製を%AppData%にコピーした後,暗号化を実行します.暗号化の後,ランサムノート(身代金を要求するドキュメントで,脅迫文,複合のための身代金の振込先,攻撃者の連絡先メールアドレスなどが含まれる文書)を表示します.
また,ログイン時に再度CrySISランサムウェアが自動的に実行されるように,自身を永続化します.これにより,新しく作成されたファイルについても暗号化を試みます.さらに,cmd.exeを起動し,vssadminコマンドによってボリュームシャドウコピーを削除し,暗号化したファイルのボリュームシャドウコピーからの復元を抑制します.
なお,今回の検体では,外部への通信は観測されませんでした.CrySISは,前述の通りRDPを経由して攻撃者が手動で投入されますケースが多く報告されています.その場合,攻撃者は,RDP経由で情報を窃取した後にランサムウェアを使用してデータの暗号化を行うことが想定されます.このように,データの持ち出しなどの活動はすでに行われている前提で,ランサムウェア自体には窃取した情報を攻撃者に送信する機能がないものと考えられます.
3. 暗号化機能について
暗号化挙動については,ユーザ領域をほぼ無条件で圧縮している挙動が確認できました.ただし,C:\Windows以下のファイル群は暗号化されていないことを確認しました.我々がCドライブ直下に作成していた解析ツール用のディレクトリは暗号化されていたため,ホワイトリストで必要なディレクトリだけ残していると考えられます.
なお,暗号化後のファイルは以下のフォーマットで保存されていました.
<元ファイル名>.<元拡張子>.id-<ユーザID>.[datacentreback@msgsafe.io].data
例えば,「example.txt」というファイルは,「example.txt.id-123456.[ datacentreback@msgsafe.io].data」という名前にリネームされます.このフォーマットには,他のレポートで報告されているもの [2][3]に類似する点が見られます.
また,本検体は,ランサムノートを2つ作成します(下図).一つはhtmファイルで,暗号化後にポップアップ表示されます.もう一つはtxtファイルで,デスクトップ直下に作成されます.なお,ランサムノートについても既知のCrySISランサムウェアのものと同一であり,連絡先についてもすでに他の検体で検知されているものでした.連絡先に利用された2種のドメインは,以下の通りです.
- onionmail.org: 暗号化・匿名化されたメールサービス.Torネットワークと通常のネットワーク双方を利用可能
- msgsafe.io: キュラソー島を拠点とするメールサービス.エンドツーエンドのメッセージ暗号化や高いプライバシー保護などの特徴を持つ
4. その他
我々は,本検体以外にもCrySISの観測を行っていましたが,以前観測した検体との違いとして,エクスプローラの起動が阻害されていた点が挙げられます.下の図に示すように,暗号化後エクスプローラを起動しようとしても,「この項目を開けません」と表示され,起動することができませんでした.これにより,被害者の行動,特に複合に係る行動を制限して,身代審の支払いをさらに促す狙いがあると考えられます.この挙動は,既知の検体を解析したレポートにも記載が見られませんでした.
また,ランサムウェアによって暗号化されたファイルを復号するツールも存在します.例えば,NoMoreRansomプロジェクトのウェブサイト [4]では,過去にリリースされた復号ツールがまとめられており,検索やダウンロードが可能です.そこで,本解析では復号ツールによる復号が可能かどうかの観点でも調査を行いました.調査時点では,ESET社とカスペルスキー社からCrySISランサムウェアの復号ツールが提供されていましたが,本検体ではいずれのツールでも復号することはできませんでした(下図).このことから,復号キーが変更されていると考えられます.
5. まとめ
今回は,我々のSTARDUSTを用いた取り組みの一環で行ったCrySISの観測について,その結果を共有しました.今回ご紹介したCrySISに限らず,ランサムウェアに感染するとファイルが暗号化されます.これにより,会社であれば業務の継続が困難になる,個人であっても重要なファイルが利用できなくなる等の甚大な被害が発生しうるため,より気を付ける必要がある脅威の一つであると言えます.ランサムウェアに限らず脅威全般に言えるものも含まれていますが,以下のような対策が挙げられますので,ぜひ実施いただければと思います.
- アンチウイルスエンジンで検知されるものもありますので,導入・有効化することが対策の一つとして有効です.例えば,3章で述べたボリュームシャドウコピーの削除は,今回のCrySISに限らずランサムウェアの典型的な動作の一つであり,実際に幾つかのアンチウイルスエンジンで検知できることを確認しています.また,多くのアンチウイルスエンジンでは,細心の脅威に追従するために検知ルールが更新されますので,自動更新を有効化し,常に最新状態を保つことも重要です.
- パッチを適用し,OSや各種ソフトウェアを常に最新の状態にすることも需要です.また,必要以上にサービスを外部に公開しないことも重要です.例えば,今回のCrySISは,RDPが侵入経路の一つとして報告されていますので,OSや各種ソフトウェアを最新状態としてRDPに関する脆弱性が残った状態にしないことやRDPサービスを外部に公開しないことで侵入経路を防ぐことが対策として挙げられます.
- 各種セキュリティベンダや研究者等の貢献により,ファイルが暗号化されてしまった場合に復号を試みるツールも存在します.ファイルが暗号化されてしまった場合,こういったツールを活用すると復旧できる可能性もあります.ただし,必ず復号できるわけではありませんので,万が一に備えて重要なファイルのバックアップを取っておくことも重要であると言えます.
我々は,今後もSTARDUSTを用いて観測した攻撃について発信を行っていく予定です.
参考文献
[1] malpedia: Dharma, https://malpedia.caad.fkie.fraunhofer.de/details/win.dharma
付録1. データ保全について
我々は,STARDUSTをマルウェアの観測・実行以外にも様々な用途で活用しています.今回は,CrySISランサムウェアに感染したと仮定し,感染後の復旧フローのシミュレート用途にも活用しました.具体的には,感染後の環境においてCrySIS感染からの復元作業を実施し,その充足性を確認することにより,復元作業のリストアップを行いました.
今回は,⼤きく2つの⼿順で復元を実施しました.
- 永続化の解除
・Runキーの削除
・スタートアップからのファイル削除 - アンチウイルスソフトを⽤いた全ファイル検索
・yaraiを⽤いて不審なファイルを検査・削除を実施
・yarai実施後,MS Defenderを強引に有効化して全ファイル検索を実施
上記復元処理を実施した後,⼀定時間の放置や端末の再起動などを⾏い,新たに暗号化が実施されないことを確認しました.
付録2. 観測検体・観測概要
Posted:Takayuki SATO (Hitachi, Ltd.), Shingo YASUDA (NICT)
©2025 Cybersecurity Nexus
