MBRを上書きする新手のランサムウェア出現、PCが使用不能に

ファイルを暗号化して身代金を要求する一般的なマルウェアに対し、PetyaはHDDのMFTを暗号化してしまい、Windowsを含めてHDDの内容に一切アクセスできなくなるという。

» 2016年03月31日 07時30分 公開
[鈴木聖子ITmedia]

 コンピュータの起動時に読み込まれるMBR(マスターブートレコード)を上書きして正常に動作できなくさせてしまう新手のランサムウェア(身代金要求型不正プログラム)が出現し、被害が広がっているという。セキュリティ企業などが伝えた。

 コンピュータ情報サイトのBleeping Computerによると、ランサムウェアは被害者のHDDに保存されているファイルを暗号化して身代金を要求する手口が一般的だが、その場合でもOSは正常に機能する。ところがPetyaはHDDのMFT(マスターファイルテーブル)を暗号化してしまい、Windowsを含めてHDD上の内容に一切アクセスできなくなるという。

ランサムウェアよって正常利用できなくなったコンピュータの画面(Heise Securityより)

 これまでのところ、主にドイツの企業の人事部門を狙った標的型メールでDropboxのリンクを送り付け、ファイルをダウンロードさせる手口を通じて感染が広がっている。

 感染すると、MBRを悪質なプログラムに置き換えてWindowsを再起動させ、ランサムウェアの読み込みプログラムを実行して、MFTを暗号化してしまう。MFTが暗号化されてコンピュータで識別できなくなれば、正常な利用は不可能になる。

 画面には暗号解除のための鍵の購入を指示する内容が表示され、Torブラウザで指定されたページにアクセスすると、ビットコインで身代金を支払うよう要求される。

身代金の支払いサイト(同)

 Bleeping Computerは3月25日の時点で「身代金を支払う以外にHDDの暗号を解除できる手段はない」と伝えていた。

 一方、ドイツのセキュリティ企業Heise Securityは3月29日のブログで、Petyaは感染の最初の段階では単純な固定値のXOR演算を使ってMBRを暗号化しているにすぎないことが分かったと指摘。この時点で別のドライブから起動してコンテンツをバックアップすれば、データは復旧できると解説している。

Copyright © ITmedia, Inc. All Rights Reserved.