MBRを上書きする新手のランサムウェア出現、PCが使用不能に
ファイルを暗号化して身代金を要求する一般的なマルウェアに対し、PetyaはHDDのMFTを暗号化してしまい、Windowsを含めてHDDの内容に一切アクセスできなくなるという。
コンピュータの起動時に読み込まれるMBR(マスターブートレコード)を上書きして正常に動作できなくさせてしまう新手のランサムウェア(身代金要求型不正プログラム)が出現し、被害が広がっているという。セキュリティ企業などが伝えた。
コンピュータ情報サイトのBleeping Computerによると、ランサムウェアは被害者のHDDに保存されているファイルを暗号化して身代金を要求する手口が一般的だが、その場合でもOSは正常に機能する。ところがPetyaはHDDのMFT(マスターファイルテーブル)を暗号化してしまい、Windowsを含めてHDD上の内容に一切アクセスできなくなるという。
これまでのところ、主にドイツの企業の人事部門を狙った標的型メールでDropboxのリンクを送り付け、ファイルをダウンロードさせる手口を通じて感染が広がっている。
感染すると、MBRを悪質なプログラムに置き換えてWindowsを再起動させ、ランサムウェアの読み込みプログラムを実行して、MFTを暗号化してしまう。MFTが暗号化されてコンピュータで識別できなくなれば、正常な利用は不可能になる。
画面には暗号解除のための鍵の購入を指示する内容が表示され、Torブラウザで指定されたページにアクセスすると、ビットコインで身代金を支払うよう要求される。
Bleeping Computerは3月25日の時点で「身代金を支払う以外にHDDの暗号を解除できる手段はない」と伝えていた。
一方、ドイツのセキュリティ企業Heise Securityは3月29日のブログで、Petyaは感染の最初の段階では単純な固定値のXOR演算を使ってMBRを暗号化しているにすぎないことが分かったと指摘。この時点で別のドライブから起動してコンテンツをバックアップすれば、データは復旧できると解説している。
関連記事
- 新手のランサムウェア出現、ファイル拡張子を「.locky」に変える
セキュリティ企業のESETによると、ファイルの拡張子を「.locky」に変えて身代金を要求する新手のランサムウェアの感染報告が急増している。 - Macを狙うランサムウェア、正体が判明
Mac OS Xを狙う初のランサムウェア「KeRanger」は、Linuxに感染するマルウェア「Linux.Encoder」とほとんど同じコードが使われていたことが分かった。 - 新手のランサムウェア、日本語でAndroidユーザーに身代金要求
ランサムウェア(身代金要求マルウェア)被害はPCだけでなくモバイル端末にもあるが、日本語でユーザーに身代金を要求するタイプが初めて確認された。 - ランサムウェアに感染した病院、身代金要求に応じる
マルウェアに感染した米ロサンゼルスの病院は、「最も手早く最も効率的にシステムや管理機能を復旧させる手段は身代金を払って暗号解除鍵を入手することだった」と説明している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.