たとえ被害者が要求に従って身代金を払ったとしても、マルウェア作者ですらファイル復旧は不可能だという。
被害者のファイルを人質に取って返さないまま、身代金だけだまし取ろうとする新手のランサムウェアの亜種が見つかった。米Ciscoのセキュリティ部門Talosが7月11日のブログで伝えた。
Talosによると、このランサムウェア「Ranscam」は、他のランサムウェアのように高度な機能は持たず、あらゆる手口でユーザーを脅して身代金をだまし取ろうとする。感染すると通告画面が表示され、「お前のファイルは隠しパーティションに移動して暗号化した」と脅迫する。
画面下部には入金確認を称する黄色いボタンがあり、「ビットコインで支払いが済んだら、コンピュータとファイルのロックを解除するためクリックを」と促す。ところがこれをクリックすると、入金確認ができなかったと通告する赤いボタンに切り替わり、「身代金を払わなければ、ボタンをクリックするたびにファイルを1本ずつ削除する」と脅迫してくる。
しかしTalosによれば、実はこの画面は単純にPNG画像を表示して入金確認プロセスに見せかけているだけで、実際には確認をしていない。「ボタンをクリックするたびにファイルを削除」という脅しも嘘だという。
実はこの時点でユーザーのファイルは全て削除され、Ranscamにはそもそも暗号化と暗号解除の仕組みが組み込まれていない。このため、たとえ被害者が要求に従って身代金を払ったとしても、ファイルを復旧させることはマルウェア作者ですら不可能だという。
Ranscamは高度な機能を持たないことから、開発したのは「アマチュアのマルウェア作者」だとTalosは推測し、「作者は被害者にファイルを取り戻せると思わせて身代金を払わせる狙いで、ペテンに掛けているにすぎない」と解説する。
ランサムウェアに感染して身代金を払ってしまう組織も後を絶たず、その実入りの良さに目を付けて、Ranscamのような新種や亜種が続々と出現する悪循環が繰り返される。「Ranscamの出現によって、確実なオフラインバックアップ戦略の重要性が一層裏付けられた」とTalosは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.