終了宣言したランサムウェアに後継者? より悪質な“更新版”が出現

活動終了を宣言した「CrypTesla」と同様の手口を使いながら、感染したユーザーに身代金を支払わせるための手段をより巧妙化させているという。

» 2016年05月26日 17時46分 公開
[ITmedia]

 トレンドマイクロは5月26日、暗号化型ランサムウェアの新種とみられる「CryptXXX」(検出名RANSOM_WALTRIX)への注意を呼び掛けた。活動終了を宣言した「CrypTesla」と同様の感染手法を使うが、CrypTeslaよりもユーザーに身代金を支払わせるための手段が巧妙化しているという。

 同社によるとCryptXXXは、CrypTeslaと同じようにユーザーが改ざんされたWebサイトや不正な広告にアクセスすることで感染する。ユーザーのコンピュータに侵入すると、まずコンピュータが仮想環境で実行されているかどうかをチェックし、仮想環境であれば活動を停止。仮想環境でない場合はファイルの暗号化を開始し、watchdogによって暗号化を中断させようとしても、暗号化を繰り返し試みるなど悪質な特徴を持つ。

CryptXXXが暗号化するファイルの拡張子(トレンドマイクロより)

 5月19日にはCrypTeslaを使う犯罪者が活動終了を宣言し、復号するためのマスターキーを公開した。犯罪者と接触したESETがCrypTeslaに感染したコンピュータを復旧させるツールを開発したことで、ユーザーはCrypTeslaに感染しても犯罪者に身代金を支払う必要がなくなった。

 しかし、CryptXXXではユーザーが他のツールにアクセスできないようデスクトップ画面がロックされ、身代金を要求するメッセージと支払いサイトへのリンクが表示される。トレンドマイクロは、CrypTeslaへの対策がとられたことによって犯罪者が新たな措置を講じた可能性があると推測する。

 また、支払いサイトでは身代金として500ドルをビットコインで支払うよう要求し、同時にタイマーを表示して、時間が経過するごとに身代金を増額する。感染したユーザーを焦らせて身代金を支払うように仕向ける手口だが、ほかのランサムウェアが約24時間で身代金を2倍に増やすのに対し、CryptXXXは90時間以上で2倍になる。支払い期限に余裕があるように見せることで、従来とは異なる心理的な効果を狙っているようだ。

身代金の要求画面(同)

 トレンドマイクロは、CryptXXXが適切なランサムウェア対策を講じていないユーザーの新たな脅威になると指摘。コンピュータの環境を常に最新に保つことで感染に備え、データをバックアップして記録媒体や場所が異なるように複数保存しておく対策をアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ