マカフィー、ランサムウェア「LeChiffre」の暗号化アルゴリズムを解析：復号ツールを配布

　マカフィーのセキュリティ研究機関 McAfee Labsは、「LeChiffre」と呼ばれるランサムウェアの亜種の暗号化アルゴリズムの解析に成功したと告知。解析内容とLeChiffreの復号ツールを公開した。

　LeChiffreは、スパム攻撃によって配信されるランサムウェアや、他のマルウェアによってダウンロードされるランサムウェアとは異なり、ファイルの暗号化を被害者のマシン上で手動で実行される必要がある。McAfee Labsが解析したLeChiffreの暗号化アルゴリズムは、以下の通りだ。

　亜種を含めたLeChiffreは、「Blowfish」と呼ぶ方式を用いて暗号化する。Blowfishでは、まず2つのMD5文字列を計算する。1つ目は、固定文字列、コンピュータ名、システム日付に基づいて計算する。2つ目は、ユーザー名と固定文字列から求める。そして、これら2つのMD5文字列を連結し、さらに末尾にマルウェアのバージョン文字列を付加する。

　次に、この文字列を基にSHA1値を計算する。このSHA1値の大きさは20バイトである。その末尾に12バイトの0xFFを付加する。このような処理によって得られた32バイトの値を「Blowfish」の鍵としている。

　ファイルの暗号化方法は、ファイルの大きさによって異なる。ファイルの大きさが8192（0x2000）バイトよりも小さければ、ファイル全体を暗号化する。1万7032バイトよりも小さければ、先頭の8192バイトのみが暗号化される。1万7032バイトよりも大きければ、先頭と末尾のそれぞれ8192バイトが暗号化される。

　こうしてファイルの内容を暗号化した後、ファイルの末尾にマーカーバッファを追加して、ファイル名の後に「.LeChiffre」を付加する。その他、Blowfish鍵を生成する際のバージョン文字列についても、亜種の中には攻撃ターゲットのIPアドレスのISOコードを調べて、バージョン文字列の末尾に追加する処理をしているものがあるという。

　LeChiffre復号ツールはマカフィーのサイトよりダウンロードできる。