終了宣言したランサムウェアに後継者? より悪質な“更新版”が出現
活動終了を宣言した「CrypTesla」と同様の手口を使いながら、感染したユーザーに身代金を支払わせるための手段をより巧妙化させているという。
トレンドマイクロは5月26日、暗号化型ランサムウェアの新種とみられる「CryptXXX」(検出名RANSOM_WALTRIX)への注意を呼び掛けた。活動終了を宣言した「CrypTesla」と同様の感染手法を使うが、CrypTeslaよりもユーザーに身代金を支払わせるための手段が巧妙化しているという。
同社によるとCryptXXXは、CrypTeslaと同じようにユーザーが改ざんされたWebサイトや不正な広告にアクセスすることで感染する。ユーザーのコンピュータに侵入すると、まずコンピュータが仮想環境で実行されているかどうかをチェックし、仮想環境であれば活動を停止。仮想環境でない場合はファイルの暗号化を開始し、watchdogによって暗号化を中断させようとしても、暗号化を繰り返し試みるなど悪質な特徴を持つ。
5月19日にはCrypTeslaを使う犯罪者が活動終了を宣言し、復号するためのマスターキーを公開した。犯罪者と接触したESETがCrypTeslaに感染したコンピュータを復旧させるツールを開発したことで、ユーザーはCrypTeslaに感染しても犯罪者に身代金を支払う必要がなくなった。
しかし、CryptXXXではユーザーが他のツールにアクセスできないようデスクトップ画面がロックされ、身代金を要求するメッセージと支払いサイトへのリンクが表示される。トレンドマイクロは、CrypTeslaへの対策がとられたことによって犯罪者が新たな措置を講じた可能性があると推測する。
また、支払いサイトでは身代金として500ドルをビットコインで支払うよう要求し、同時にタイマーを表示して、時間が経過するごとに身代金を増額する。感染したユーザーを焦らせて身代金を支払うように仕向ける手口だが、ほかのランサムウェアが約24時間で身代金を2倍に増やすのに対し、CryptXXXは90時間以上で2倍になる。支払い期限に余裕があるように見せることで、従来とは異なる心理的な効果を狙っているようだ。
トレンドマイクロは、CryptXXXが適切なランサムウェア対策を講じていないユーザーの新たな脅威になると指摘。コンピュータの環境を常に最新に保つことで感染に備え、データをバックアップして記録媒体や場所が異なるように複数保存しておく対策をアドバイスしている。
関連記事
- 第23回 感染したらどうする? ランサムウェアに身代金を払うことの意味
ランサムウェア感染の被害者は身代金要求に応じるべきか悩む。「拒否すべき」との見解は多いが、当事者にとってはそれ以外に選択肢がないこともあり得るだろう。今回はこの難しい問題にどう対応していくのかについて記す。 - ランサムウェア被害、3カ月で870件に 検出は8300台
トレンドマイクロによれば、2016年1月〜3月のランサムウェア被害の報告件数は前年比8.7倍になった。 - ランサムウェア「TeslaCrypt」が店じまい宣言、暗号解除のマスターキー公開
ESETの専門家がCrypTeslaを操る集団と接触して暗号解除のためのユニバーサルマスターキーが欲しいと求めところ、相手はこの求めに応じたという。 - 1日5分でできる、ランサムウェア対策
大事なデータを勝手に暗号化し、身代金を要求するランサムウェア。その被害は個人にも及んでいます。今回は、被害にあって絶望しないための対策法を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.