新たなRaasファミリーのランサムウェアを確認：Windows システムを標的にする LokiLocker RaaS　（動画有り）

概要

BlackBerry Threat Intelligence は、新しい RaaS（Ransomware-as-a-Service）のファミリーを特定し、ベータ段階と思われるリリースまで起源をたどることに成功しました。他の多くのランサムウェア株と同様に、LokiLocker もファイルを暗号化して、期限までに身代金を支払わないとマシンを使用できないようにします。しかし、名前の由来となった北欧神ロキのように、この脅威は狡猾な罠を仕掛けてきます。その一つが、脅威アクターとしてイランが疑われるように仕向ける、「偽旗」戦術です。

神話のロキは、あらゆるものに変身できる、トリックスター（巧みないたずらを好む神）として描かれています。怒りっぽい火の神々の一員ではあるものの、他の神々とは敵対関係にあり、しばしば招かれていない祝宴に押しかけては食べ物と酒を要求したといいます。LokiLocker も同じように振る舞います。自分には正当な所有権のないものを執拗に要求するのです。
LokiLocker は英語話者の Windows® PC ユーザーを標的とした比較的新しいランサムウェアファミリーで、最初に発見されたのは 2021 年 8 月半ばでした。2016 年に悪名を馳せた、より古いランサムウェアファミリー Locky や、インフォスティーラの LokiBot と混同しないでください。LokiLocker は LockBit ランサムウェアといくつかの類似点（レジストリ値、身代金要求のファイル名）があるものの、直系の子孫ではないようです。

名前の由来となったロキ神と同じように、LokiLocker は招かれざる客として被害者の生活に入り込み、めぼしい財産がないか探しはじめます。その後、ファイルを暗号化し、再び使用できるようにするための身代金を要求します。このマルウェアは .NET で作成され、KoiVM と呼ばれる追加の仮想プラグインを使用した NETGuard（ConfuserEx の改変版）によって保護されています。KoiVM は、元々 .NET アプリケーション向けにライセンス付きで市販されていた保護機能プラグインでしたが、2018 年ごろからコードがオープンソース化され（または漏洩して）、現在では GitHub で誰でも手に入れることができます。Koi は、ハッキングツールやクラックツールで広く使われていると思われますが、これまでのところ、BlackBerry で確認された他のマルウェアでの使用例は、それほど多くありません。

破壊神ロキ

LokiLocker は、ファイルの暗号化に AES、鍵の保護に RSA という標準的な組み合わせによって、被害者のローカルドライブとネットワーク共有のファイルを暗号化します。次に、身代金の支払い方法に関する指示を受け取るために、攻撃者にメールを送付するよう指示します。

LokiLocker はワイパー機能を備えていると脅すことも忘れません。指定した期限までに身代金を支払わなかった場合、システムファイル以外のすべてのファイルを削除し、マスターブートレコード（MBR）を上書きすることで、被害者のファイルをすべて消去しシステムを使用できなくするというのです。被害者は誰もが一撃で仕留められます。

LokiLocker は、利用を限定された RaaS（Ransomware-as-a-Service）として機能し、慎重に選ばれた比較的少数の「会員」に秘密裏に販売されているものと思われます。各会員は選ばれたユーザー名で識別され、一意のチャット ID 番号を割り当てられます。BlackBerry の研究者が発見した LokiLocker のサンプルからは、現在およそ 30 の異なる「VIP」会員の存在が確認されています。

このランサムウェアの最も早い時期のサンプルの一つは、当初、トロイの木馬化された次のような総当たりチェッカ（ブルートチェッカ）型のハッキングツールに仕込まれて配付されました。

• PayPal BruteChecker
• Spotify BruteChecker
• PiaVPN Brute Checker By ACTEAM
• FPSN Checker by Angeal (MR_Liosion によってクラックされたもの)

ブルートチェッカとは、盗まれたアカウントの認証を自動化し、クレデンシャルスタッフィングと呼ばれる技法で他のアカウントへのアクセス権を得るためのツールです。これらのハッキングツールによって配付された LokiLocker は、会員に広く提供する前の、ある種のベータテスト段階にあるバージョンであった可能性があります。

確認された被害者は世界各地に散らばっているものの（会員ごとに標的を選ぶパターンが異なると思われるため当然予想されることです）、主に東欧とアジアに集中しています。

LokiLocker RaaS の信頼できる正確な起源を特定することはできませんでしたが、埋め込まれていたデバッグ用の文字列はすべて英語であったことは特筆すべき事実と言えるでしょう。ロシアや中国を起源とするマルウェアの大半は英語を使用していません。記述されていた英語には、ほとんど誤りやミススペルがありませんでした。

さらに興味深いのは、LokiLocker のごく初期のサンプルの配付に使われたクラッキングツールの一部が、AccountCrack と呼ばれるイランのクラッキングチームによって開発されたと思われる点です。また、既知の LokiLocker 会員の少なくとも 3 名は、イランのハッキングチャネルに固有のユーザー名を使用しています。これが LokiLocker のイラン起源説を裏付けるのか、あるいは本当の脅威アクターがイランの攻撃者に罪を着せようとしているのかが、完全に明らかになったわけではありません。

LokiLocker の詳細

C# コードを調査するには、まず DNSpy でファイルを開いてデコンパイルする必要があります。図 1 に示すとおり、元のファイル名 "svchost.exe" と、NETGuard/KoiVM v0.2.0-custom への参照を確認できます。

図 1 - KoiVM 難読化機能のバージョン

名前空間を調べると、すぐに 2 つのラベル付きクラス "Koi" と "NETGuard" および難読化された関数名を持つ多数のクラスを突きつけられました。これらの関数名は、いずれも複数文字の "Z" で始まっています（図 2）。これは、他の名前空間にも当てはまることです。

図 2 - Koi、NETGuard、および難読化されたクラス名

その名が示すとおり、KoiVM は仮想マシン（VM）であり、C# の難読化ツール ConfuserEx で動作するよう設計されたものです。仮想化は、難読化の一形態として解析をより困難にします。KoiVM のドキュメントで説明しているように、これは「.NET の opcode を、Koi のマシンだけが理解できる新しいものに変換」することで実現されます。

通常、KoiVM のバニラ実装では、OldRod と呼ばれるツールによる脱仮想化が可能です。このツールは、KoiVM の仮想化を無効にするために専用に開発されたもので、デコンパイルされたコードを人間がより理解しやすいものに変換します。しかし、KoiVM を改変して、OldRod が特定の署名や必要なデータを見つけられなくするのは簡単です。そして、そのような改変に対処できるようツール自体を改良しないかぎり、脱仮想化は失敗するでしょう。

BlackBerry の研究者が解析したサンプルでは OldRod は機能しませんでした。それは COR20 メタデータテーブルのヘッダー内に #Koi ストリームが記述されていなかったためであり、解析は振り出しに戻りました。

興味を引く名前空間がいくつか存在したことは指摘しておく必要があるでしょう。特に図 3 に示したような "Loki" で始まるものです。クラスに含まれるコードを調べる段階で、ある問題に直面します（今のところ）。中身が空であったり、デコンパイルすると DNSpy がエラーをスローしたりするのです。

図 3 - Loki 関数 - 空またはデコンパイル不能

Loki.Pinvoke には、クラス ZZZZX が含まれ（図 4）、クラス自体の中身は、さまざまな Windows API に対するラッパーです。これらのラッパーの 1 つを呼び出すことで、DLL および指定された関数をインポートします。これは、難読化に加え、Windows API の直接呼び出しをすべて排除するというメリットをもたらします。たとえば、Kernel32.dll の FindNextFile に対するすべての呼び出しを、C# 関数 ZZZZZf を呼び出すだけで実現できるのです。

図 4 - WinAPI のラッパー

もう一つの注目すべき点は「会員設定」です。ここには、この後、詳述するいくつかの設定オプションが含まれます。

図 5 - Loki.Config

ここまで、バイナリの主な特徴について、いくつか検討してきました。続いて、より具体的な詳細を掘り下げてみましょう。

展開

OldRod ではバイナリを脱仮想化できませんでしたが、まだ、すべての道が閉ざされたわけではありません。昔ながらの力仕事を少々とデバッグの妙技によって、バイナリを旧来の方法で解析することは可能です。DNSpy ではエントリポイントまたはプロセス生成にブレークポイントを設定できないことが判明しました。しかし最初の名前空間コンストラクタ（.cctor)）に移動することで、Koi() 関数の初期呼び出しにブレークポイントを設定し、そこからステップインして図 6 のような状態に到達できることがわかりました。

図 6 – KoiVM で仮想化された関数

Koi() クラス内には、324 回の関数呼び出しがあります。しかし、多くは繰り返しで、おそらく VM 環境を設定しているものと思われます。注目した呼び出しのうち重要なのは、最初の呼び出し、最後から 2 番目の呼び出し、最後の呼び出しの 3 つだけです。

最初の展開関数

最初の関数は、モジュールのベースアドレスをフェッチし、自分自身をメモリ内にデコードする処理へと進みます。それには、一連の畳み込み XOR と変数割り当てが使用されます。この処理が完了すると、PAGE_EXECUTE_READWRITE 権限で VirtualProtect が呼び出されます。

その後、最後のループで、権限が変更された同じ場所に、さらにデータをデコードします。この最初の関数全体としての目的は、後ほど使用するためのデコード関数をいくつかデコードすることにあるようです。

第 2 （最後）の展開関数

最初に大きなバイト配列をグローバル変数内に定義します（図 7）。各バイトは、バイト配列内の位置に対して XOR されます。この演算が完了すると、得られたデータを GZIP で展開します。

図 7 - ByteArray の定義、XOR デコード、GZip 展開

次に、このデータを、以前は空だったか、デコンパイルできなかった関数、つまり最初に確認した図 3 の "Loki.*" クラス内の関数を設定するために使用します。

これでも、まだ最終関数ではない

ここまでで重要な関数はデコードされ解決されたものの、実行を Loki のコアに渡す前に、もう一つだけ実行すべき最後の手順があります。その関数は、スキャンソリューションを無効化するために、いくつかの特徴的な手段を用いて実行可能ファイルを破壊します。

最初の関数と同様に、メモリ内のモジュールへのハンドルを取得します。そこから、いくつかの操作を実行します。たとえば CoreExeMain と Mscoree.dll のインポート記述子テーブルに 2 つの文字列、それぞれ NtContinue と Ntdll.dll を上書きします。これが完了すると、ファイルは PE セクションテーブルヘッダーと COR20 メタデータテーブルヘッダーの権限を変更します。これを行うのは、これらのヘッダーを null バイトで上書きできるようにするためです。参考として、図 8 にこの関数のスニペットを示します。

図 8 - IDT 操作とヘッダーの上書き

この関数が終了すると、バイナリは LokiLocker コアの main 関数の先頭にジャンプします（図 9）。

以上でサンプルの展開は完了です。続いて LokiLocker のコア機能を見てみましょう。

機能性

デバッグロギング

LokiLocker は --log パラメータを付けて実行できます。これによって感染の詳細な verbose ログが "\logs.txt" に保存されます。

図 9 - ラベルを付けなおした "main" 関数と実行パラメータ "--log"

コアのサンプルは、依然としてある程度難読化されていますが、中身を十分に説明する、これらのデバッグ文字列の存在により、骨の折れる解析が若干容易になります。

永続性

マルウェアは実行されると、自分自身を "%ProgramData%/winlogon.exe" にコピーし、隠しファイルとシステムファイルの属性を設定し、"LokiLocker" という名前のミューテックスを作成します。

永続性は、いくつかの方法で実現しています。

• ログオンごとにマルウェアのバイナリを実行するスケジュールされたタスクを作成する：

• HKCU と HKLM の両キーの下の Software\Microsoft\CurrentVersion\Run に次の値を追加する：

• マルウェアの実行可能ファイルを共通スタートアップフォルダにコピーする

上記の例で引用されている Michael Gillespie 氏は、ランサムウェアと闘う有名な研究者であり、Twitter や Bleeping Computers フォーラムで活発に発言しています。マルウェアの作者が、このようにセキュリティ研究者に「挨拶」する例は初めてではないものの、稀です。同様の例として Maze ランサムウェアがあります。このランサムウェアでは、その「キルスイッチ」ファイル名に、別の有名なランサムウェア対策の研究者の名前が使用されました。

準備

暗号化のプロセスが開始される前に、マルウェアは以下の操作を実行します。

• 構成を読み取る - デフォルトの設定オプションはバイナリの Config クラスにハードコードされていますが、設定ファイルから読み取られた値によって抑止できます。
• loki.txt という名前の設定ファイルが存在する場合、これを %ProgramData%\config.Loki にコピーし、そこから設定値を読み取る
• 偽の Windows Update 画面を表示する（そのように設定されている場合）
• 指定されたプロセスを強制終了する
• 指定されたサービスを停止する
• Windows のタスクマネージャーを無効化して（そのように設定されている場合）、以下の内容を含む wvtymcow.bat ファイルをスタートアップフォルダに投下する

• システムバックアップとシャドーコピーを削除する
• Windows エラーリカバリを無効化する
• 内蔵ファイアウォールを無効化する
• システム復元ポイントを削除する
• Recycle.bin を空にする
• Windows Defender を無効化する
• ユーザーログイン通知を変更する（図 10、11）
  

図 11 - LokiLocker のユーザーログイン通知

• レジストリ SOFTWARE\Microsoft\Windows\CurrentVersion\OEMInformation 内の OEM 情報を変更する（図 12）

図 12 – OEM 情報を変更するコード

ネットワーク通信

マルウェアは、コマンドアンドコントロール（C2）サーバーでホストされる index.php スクリプトに対する POST 要求内で、下記の情報を含むビーコンを送信します（図 13）。C2 の URL はバイナリの設定に loki-locker[.]one としてハードコードされます。"user" と "chat-id" フィールドはハードコードされていますが、その他の情報は被害者のシステムプロパティに基づいて生成されます。

• unique-id=<volume_serial_number>
• disk-size=<size_of_main_drive>
• user=<hardcoded_affiliate_username>
• cpu-name=<cpu>
• ram-size=<physical_memory>
• os-name=<name_of_operating_system>
• chat-id=<hardcoded_number>

図 13 - ネットワーク通信コードの一部（index.php への POST）

URL は 91[.]223[.]82[.]6 に解決されます。すべての通信に使用されるユーザーエージェントは Loki/1.0 です。

C2 からの応答としてマルウェアが想定するのは、JSON オブジェクトの形態を取る、難読化された公開鍵です。応答バッファの最大サイズは 0x100000（1048576 バイト）まで可能です。

マルウェアは同じサーバー上の "tg.php" スクリプトとも通信します（図 15）。これは、ボットからのステータス更新を目的とした API エンドポイントと思われます。主に、暗号化プロセスの進捗を C2 に知らせるために使用されます。このスクリプトには、次のパラメータを渡すことができます。

• unique_id
• action
• msg-id
• chat-id
• status
• elapsed-time

最終的な要求は次のようになります。

図 15 - ネットワーク通信コードの一部（tg.php への POST）

暗号化

マルウェアは被害者の RSA-2048 鍵ペアを作成し、それを攻撃者の RSA 公開鍵で暗号化してレジストリに保存します。

レジストリには、キー HKCU\Software\Loki と次の値を作成します。

• Public – XML フォーマットによる被害者の RSA 公開鍵を格納し、その後、XOR 0x11 によって難読化されます。

• Full – 攻撃者の公開鍵によって暗号化された被害者の完全な鍵ペアを格納します。base64 でエンコードされたコピーが、各ドライブのルートディレクトリおよびユーザーの特殊ディレクトリの "cpriv.Loki" ファイルにも保存されます。

• Timer – yyyyy,MM,dd,HH,mm,ss のフォーマットで記述され、XOR 0x54 でエンコードされた身代金の支払期限の日時値です。これは、マルウェアがシステムファイル以外のファイルを削除し、MBR を上書きすることでドライブを消去しはじめる厳密な時刻です。デフォルトの日時は、最初にマルウェアが実行されてから 30 日後ですが、設定ファイルで変更できます。

LockBit ランサムウェアのバージョンでも同様のレジストリエントリが使用されています。

マルウェアのバイナリには、5 つの異なる RSA 公開鍵が保存されていますが、攻撃者が C2 を介して別の公開鍵を供給することも可能です。この C2 サーバーはすべての会員に共通していることから、これは RaaS の所有者が、被害者の秘密鍵を確保するために独自の公開鍵を送信するオプションを、自分のために用意していることを示唆しています。つまり RaaS の所有者は、全会員の被害者のファイルを復号できるということです。

マルウェアは、利用できるネットワーク共有がないかネットワークをスキャンします（そのように設定されている場合）。続いてローカルユーザーディレクトリ内の以下の特殊フォルダを皮切りに暗号化プロセスを開始します。

• Favorites
• Recent
• Desktop
• Personal
• MyPictures
• MyVideos
• MyMusic

LokiLocker は次に、ローカルドライブおよびネットワーク共有（または、そのいずれか一方）を暗号化するスレッドを、設定に応じてそれぞれ独立に生成します。

ランダムに生成される鍵により各ファイルを GCM モードの AES-256 で暗号化したうえで、鍵を被害者の RSA 公開鍵によって暗号化します。

暗号化スレッドは、次のような操作も実行します。

• 暗号化したボリュームのラベルをすべて "Locked by Loki" に変更する
• 暗号化した各フォルダに身代金要求を投下する
• "info.Loki" という名前の HTA ファイルを投下する
• %ProgramData% ディレクトリにランダムな名前の HTA ファイルランチャを投下して実行する
• デスクトップ壁紙を図 16 に示したものに変更する
• cmd.exe、taskmgr.exe、regedit.exe のプロセスが起動されると、それらを即座に強制終了するスレッドを生成する
• 暗号化の完了後にシステムをシャットダウンする（そのように設定されている場合）

図 16- LokiLocker の デスクトップ壁紙

ワイパーの機能

マルウェアは、指定した期限内に身代金が支払われないと、システムの消去を試みます（そのように設定されている場合）。図 18 に示したように、被害者のすべてのドライブ上のファイルを、システムファイルを除いてすべて削除します。さらに、システムドライブのマスターブートレコード（MBR）を上書きしてシステムを使用不能にすることも試みます。続いて、リブート後に、攻撃者からの次のようなメッセージを表示します。

図 17 - 消去されたシステムのリブート後に表示される LokiLocker のメッセージ

MBR の上書き後、LokiLocker はブルースクリーンエラー（BSOD）を強制することで、システムクラッシュを試みます。

図 18- LokiLocker のワイパーのコード

設定

LokiLocker には、複数の設定可能なセクションがあります。設定可能な情報のほとんどは、ビルド処理中にクライアントバイナリにハードコードされますが、一部の設定は簡単なテキストファイルによって実行時に変更できます。

会員関連の情報と実行オプションを除き、ビルド処理中の設定が可能と思われるその他のフィールドとして、cmd.exe によって実行されるコマンドのリストと、マルウェアが強制終了を試みるプロセスとサービスのリストがあります。BlackBerry で確認されたサンプルについては、現在までこれらのフィールドには一貫性があります。

会員設定

「会員」の主な設定セクションには、会員の名前、メールアドレス、C2 の URL、readme ファイルの名前と内容、暗号化ファイルに付加する拡張子などの情報が含まれます。攻撃者に連絡してきた被害者の特定に使用されると思われるチャット ID 番号と、マルウェアがシステム消去を試みるまでの期限（日数）の設定もあります。

会員設定は Loki.Config クラスに保存され、クライアントバイナリの生成時にランサムウェアのビルダーによって組み込まれるものと思われます。

実行オプション

Config クラスにはその他の実行オプションのデフォルト値も保存されています。これらのオプションは、ランサムウェアのバイナリと同じフォルダ内に配置する必要がある、簡単なテキストファイルによって変更できます。

実行されるコマンド

強制終了するプロセスとサービス

国のリスト（スキップする国 ?）

マルウェアは文字列配列を定義します。これには、暗号化から除外する国のリストが含まれているものと思われます。これまでに解析したすべてのサンプルで、この一覧に含まれているのは Iran （イラン） 1 つだけでした（図 19）。コード内にこの配列を参照する部分がないため、この機能はまだ実装されていないようです。しかし、イランの攻撃者やハッキングツールに対する示唆と同様に、これも注意を逸らすための偽旗かもしれません。

図 19 文字列 "Iran"

ドロップされるファイル

HTA ファイル

プレーンテキストの readme ファイルの他に、マルウェアは図 20 に示すような HTA ファイルも投下します。このファイルは、被害者のデスクトップに HTML フォーマットの身代金要求文を表示します。

図 20 - HTA ファイルによって表示されるメッセージ

図 21 ：身代金要求文

HTA コードは図 22 に示す偽の Windows Update ボックスも表示し、その後 "C:\ProgramData\winlogon.exe" から新しいランサムウェアプロセスを実行し、https[:]//picc[.]io/X8GRzsw.gif へのアクセスを試みます。この URL は 3[.]64[.]163[.]50 に解決されますが、執筆時にはもはやそのコンテンツを入手できなくなっていました。

図 22 - HTA コードの一部

HTA コードは、いくつかのメタデータを保存するために、図 23 のように Google Tag Manager（gtag）のデータレイヤーを作成します。

図 23 - HTA コードによる gtag の利用

HTA ランチャー

LokiLocker は、図 24 のコードに含まれるメッセージを表示し、mshta.exe を使用して HTA ファイル "info.Loki" を起動するための小さなバイナリを投下します。このバイナリは、埋め込まれた C# コードから C# コンパイラにより、その場でコンパイルされます。

図 24 - HTA ランチャーのコード

図 25：メッセージボックスのテキスト

ネットワークスキャナ

LokiLocker では 2 つの形態のネットワークスキャンが使用されることを突き止めました。第 1 の形態は組み込みネットワークスキャナで、マウントして暗号化するためにネットワーク共有を識別します。

LokiLocker を配付する脅威アクターが、被害者の環境に投下した「NS」という名前のネットワークスキャナユーティリティを使用するケースも確認されました。このツールは、マウントおよびアンマウントされているローカルドライブとネットワーク共有のリストを表示する、簡単なコマンドラインスキャナです（図 26）。

図 26 ：NS.exe ツール

NS.exe は 2018 年から VirusTotal に掲載され、次のような複数の異なるランサムウェアキャンペーンで見つかっています。Dharma、Phobos、LockBit、Revil、その他多数このツールに関しては十分な情報がありませんが、多くの RaaS ベースの脅威に組み込まれたり、添付されたりしてダークネット上で配付されているようです。

まとめ

LokiLocker は巧妙な方法でユーザーのエンドポイントに大混乱を発生させ、その名前の由来である北欧神のように、（経済的な）供物によって宥めないと報復と破壊をもたらすことが判明しています。.NET アプリケーションを仮想化して保護するために KoiVM を使用するという LokiLocker の手法は、解析を複雑化する方法としては珍しいものです。他の脅威アクターがこの手法を取った例はまだ少ないため、これが新しいトレンドの始まりになるかも知れません。

「イラン」関連のコードが含まれていることも興味深い点です。このスニペットの使用目的が完全には明らかになっていないからです。通常、国のリストは「同盟国」を除外して危害が及ばないようにする目的があります。しかし、このコードは未使用と思われるため、研究者が LokiLocker の作成者としてイランを名指しすることを狙った策略かも知れません。ごく初期に確認された LokiLocker の会員の一部には、イランのハッキングチャネルでしか見られないユーザー名を使用しているという事実もあります。さらに、このランサムウェアの初期サンプルの配付にはイランのクラッキングツールが使用されました。こうした詳細情報が、事態をさらに混乱させます。ペテン師や脅威アクターの手にかかると、意味のある手がかりと偽装工作の区別が難しくなり、このまやかしの「落とし穴」が、どこまで続いているのか誰にもわからない場合もあります。

LokiLocker や類似の RaaS サービスによる感染を防御するための最適のルールは、常にデータ（企業データも含む）のバックアップコピーを作成しておくことです。バックアップはオフラインに保存し、なるべくプラグも抜いておきましょう。バックアップドライブまで LokiLocker に攻撃され暗号化されるという事態を避けるためです。

新しいプログラムやソフトウェアなど、ファイルをダウンロードする場合は、信頼できる公式サイトのみを使用し、サードパーティやピアツーピア（海賊版）サイトは避けます。これらのサイトはしばしば、無害または「クラックされた」ソフトウェアを装った悪意あるファイルの隠れ場所となるからです。メールの添付ファイルも同様です。信頼できる連絡先からの添付ファイルであっても、相応の注意を払って処理する必要があります（可能ならば開く前に最新のアンチウイルスプログラムでスキャンしましょう）。

本稿の執筆時点では、LokiLocker によって暗号化されたファイルを復号する無料のツールは存在しません。LokiLocker ランサムウェアに既に感染したという場合、FBI をはじめとする、ほとんどの公的治安機関は身代金を支払わないことを推奨しています。被害者が身代金を支払うことが、ランサムウェアの世界的な増加を助長しているという事実をおいても、自分が犯罪に巻き込まれているという認識を持つ必要があります。そして、たとえ身代金を支払ってもデータに再びアクセスできるようになる保証は一切ないのです。最後に、データが復元できたとしても、脅威アクターが将来簡単にアクセスできるよう、マシンのどこかにバックドアを仕込んでいないかどうかを知る方法はありません。結局、身代金を支払った被害者は、その後もたびたび支払いに応じる場合が少なくありません。

あらゆる種類のランサムウェアに対する最大の防御策は、複雑で根気のいる作業が伴うとわかっていても、常に脅威アクターの一歩先を行くように、あらゆる努力を惜しまないことです。

ランサムウェアの被害に遭われた方は、次のような対策を講じてください。

• お近くの FBI 地方局に連絡して支援を求めるか、オンラインで通報します。
• FBI のインターネット犯罪苦情センター（IC3）に被害届けを提出します。
• その他にも支援が必要な場合は、BlackBerry のインシデント対応チームまで、ご連絡ください。

付録

侵入の痕跡（IOC）

既知の会員名

AbolSpyro

AdairFile

Ahmad_C4

Darwin

Fardinyps

Fuck3r_life

Helpmezeus

John

Kingbo

LokiBlack

Mindnear

Miracle

Miveh_sabzikosher

Roxlock

Shadow

ShreAzm0

Sirer

darkages

darkkiller

arkwave

ghost

h33shmat

hijack

jhnvjfygbjdhf

mjid4MB

mr_noobx

numbervpss

optimus982

pf9922

qazw

sidewinder

既知のメールアドレス

BlackSpyro[at]mailfence[.]com

BlackSpyro[at]tutanota[.]com

DecNow[at]MsgSafe[.]io

DecNow[at]TutaMail[.]Com

Decoder[at]firemail[.]cc

Decryptfiles[at]goat[.]si

Filemanager[at]mailfence[.]com

Helpingdecode[at]tutanota[.]com

Miiracle11[at]yandex[.]com

Miracle11[at]keemail[.]me

PayForDecrypting[at]gmail[.]com

PayForDecrypting[at]outlook[.]com

Rdpmanager[at]airmail[.]cc

RoxLock[at]keemail[.]me

RoxLock[at]mailfence[.]com

Shadow0[at]mailfence[.]com

Shadow11[at]mailfence[.]com

Skydancerf5[at]cock[.]li

Sapphire01[at]keemail[.]me

Sapphire02[at]mailfence[.]com

Unlockpls.dr01[at]protonmail[.]com

Unlockpls.dr01[at]yahoo[.]com

adairfile[at]mailfence[.]com

adairfile[at]tutanota[.]com

admindec[at]rape[.]lol

anoniran[at]protonmail[.]com

badlamadec[at]msgsafe[.]io

d4rkw4ve[at]tutanota[.]com

dark4wave[at]yandex[.]com

dark.killer[at]mailfence[.]com

darkkiller[at]cock[.]li

decryptyourfiles[at]firemail[.]cc

decsup[at]tuta[.]io

falcon9[at]cyberfear[.]com

filemanager[at]cock[.]li

jesushelp01[at]techmail[.]info

jesushelp02[at]mailfence[.]com

kingbo[at]tutanota[.]com

kingboo[at]mailfence[.]com

kingvps1[at]mailfence[.]com

kingvps[at]mailfence[.]com

lockirswsuppurt[at]mailfence[.]com

lockteam[at]cock[.]li

lockteam[at]keemail[.]me

loki.black[at]mailfence[.]com

loki.black[at]msgsafe[.]io

loki.help[at]bingzone[.]net

loki.help[at]mailfence[.]com

loki.support01[at]techmail[.]info

loki.support02[at]mailfence[.]com

loki01[at]keemail[.]me

loki02[at]mailfence[.]com

lordpdx[at]tutanota[.]com

mrcrypt2[at]mailfence[.]com

mrcrypt[at]msgsafe[.]io

mrrobot13[at]cock[.]li

pf2536[at]protonmail[.]com

pf2536[at]tutanota[.]com

puffcrypt[at]gmail[.]com

rain.man13[at]mailfence[.]com

rain_man13[at]keemail[.]me

skydancerf5[at]tutanota[.]com

tran9ino00[at]protonmail[.]com

wannayourdata[at]gmail[.]com

xmagic22[at]tutanota[.]com

xmaster22[at]tutanota[.]com