2017年11月30日、”Luc1F3R”を名乗るマルウェアの開発者が、Halloareというランサムウェアを$40で販売し始めた。

（※ちなみに”Luc1F3R”の読み方だが、1を”i”、3を”E”に置き換えて、”Lucifer”となる。したがって「ルシファー」と脳内変換していただきたい。）

現在”Luc1F3R”は、ダークウェブ上のポータルサイトとYoutubeビデオを使ってHallowareの販売を行っている。

(ダークウェブ上のHalloware販売サイト。BleepingComputerより引用。) 

Hallowareの販売が行われているサイトをみると、Hallowareは$40で買い切り型のライセンスとなっているようだ。

この”$40”という価格から、以下の3つの可能性が予想できる。

• 非常にお得なオファー
• 中身のない詐欺マルウェア
• 完成度が低い

”Luc1F3R”のサイトを追跡

BleepingComputerは、”Luc1F3R”の作成したHallowareは「中身のない詐欺マルウェア」なのではないかと予想していた。

その後も調査を進めると、”Luc1F3R”がHallowareに関連するファイルを保存しているサイトを見つける事が出来たようだ。

なんとこれらのファイルの中には、ターゲットをマルウェアに感染させる為のコードが書かれたファイルも含まれていたという。

(”Luc1F3R”のものと思われるファイル置き場。BleepingComputerより引用。)

”hmavpncreck.exe”というファイルは、SHA256アルゴリズムが使用されている。

このファイルはNoDistribute scan resultsと一致する。

更に、上記のウェブサイトは”ran.py”というファイルも保存されていた。このファイルは、Hallowareのソースコードではないかとされている。

BleepingComputerは既にこのファイルを取得し、他のセキュリティ研究者へ転送。

万が一、Hallowareに感染した被害者がいた場合は復号化できるように対策をとっているという。

(Hallowareのソースコードも閲覧可能。BleepingComputerより引用。)

Hallowareは非常にシンプルに書かれたランサムウェアでありながら、ちゃんと機能はするようだ。Bleeping Computerのテストでも、ランサムウェアに感染してファイルの暗号化が行われた。

Hallowareは、感染端末上のファイルを、ハードコードされたAES-256アルゴリズムで暗号化する。

暗号化されたファイルは、"(Lucifer)".[拡張子]というファイル名に変換される。例えば、image.jpgなら、"(Lucifer)".jpgのように変換される。

(暗号化されたファイル。BleepingComputerより引用。)

暗号化プロセスが終了すると、Hallowareによってランサムノートがポップアップウィンドウで表示される。

以下にその画像を引用するが、「データは暗号化された。データを取り戻して欲しければ以下のURLにアクセスしろ」という文言と共に、".onion"のURLが貼られている。

(ランサムノートの画像。BleepingComputerより引用。)

このURLは、ダークウェブ上のペイメント用ポータルのものである。

一般的に、ランサムウェアは感染端末にランサムノートをテキストファイル形式で保存するが、Hallowareはテキストファイルを保存しない。

感染端末のファイルはハードコードされたAES-256鍵で暗号化され、更に”Luc1F3R”は暗号化したファイルを遠隔のサーバーに”人質として”保存する事も無い。

つまり万が一感染したとしても、ファイルの復号化は可能であり、データの漏洩の可能性も無いのだ。

冒頭で$40という価格に関して予想できるのは

• 非常にお得なオファー
• 中身のない詐欺マルウェア
• 完成度が低い

の3点と述べたが、

Hallowareは、$40を支払う価値もないような”中身のない詐欺マルウェア”であると言ってよいだろう。

”Luc1F3R”を追跡

Hallowareを作成した"Luc1F3R"は、マルウェアの開発を始めたばかりでスキルも高いとは言えない。

その根拠は、”Luc1F3R”がYouTubeにアップロードしているマルウェアのチュートリアル動画である。

(”Luc1F3R”がYouTubeで公開するチュートリアル。BleepingComputerより引用。)

それら動画の殆どは、非常に基礎的な技術の説明か、洗練されていないマルウェア作成方法に終止している。

また、それら動画には”Luc1F3R”のものと思われるGitHubアカウントへのリンクも掲載されている。

(”Luc1F3R”のGitHubアカウントページ。BleepingComputerより引用。)

ここには”Luc1F3R”の個人情報が掲載されているのだが、彼(又は彼女)は、インド北東地域に住む17歳の学生のようだ。

Hallowareから伺える”ローテク感”と、$40という価格設定から見ても、この情報はあながち間違いではなさそうだ。

IOC

Hashes:

007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c

d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c

c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09

感染ターゲットとなるファイルの拡張子

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd

（この記事は、BleepingComputerの”Halloware Ransomware on Sale on the Dark Web for Only $40”を元に作成された。）