新種の危険なランサムウェアがインターネット上で拡散、Kaspersky Labが2種を検知
エンタープライズ
セキュリティ
/
「ランサムウェア」とは、ユーザのファイルを人質にとり、暗号化するなどして読めなくしたうえで、解除のための“身代金”を要求するものだ。
今回発見されたのは、まず悪名高いトロイの木馬「GpCode」の新しい亜種で、ユーザーの承諾なしにdoc、docx、txt、pdf、xls、jpg、mp3、zip、avi、mdb、rar、psdなどのデータファイルを暗号化するとのこと。このトロイの木馬は、11月29日に「Trojan-Ransom.Win32.GpCode.ax」の名前でKaspersky Labのウイルス定義データベースにすでに追加済みとなっている。
「Trojan-Ransom.Win32.GpCode.ax」は、Adobe Reader、Java、Quicktime Player、Flashの脆弱性を悪用するエクスプロイトが配置された、改ざんサイトを介して拡散したと見られている。2004年に見つかった従来のGPCodeとは異なり、ファイルを暗号化したのち削除せずにデータを上書きするため、消失したデータはリカバリソフトウェアではリカバリできない。また暗号アルゴリズムに、強力なRSA-1024およびAES-256を使っているのも特徴的だ。Kaspersky Labのエキスパートは、現在GpCodeの新たな亜種の調査を進めており、感染したマシンの消失したデータのリカバリ方法を確認している。
もう1つのランサムウェアは、マスターブートレコード(MBR)を汚染するトロイの木馬だ。Kaspersky Labのウイルス定義データベースに追加されたのは、ドロッパーの「Ransom.Win32.Seftad.a」と、MBRを汚染する本体「Trojan-Ransom.Boot.Seftad.a」の2つ。MBRが汚染されるとデータが書き換えられ、ユーザーはMBRを初期化するパスワードに対して代金の支払いを要求される。3回間違ったパスワードを入力すると感染したPCが再起動し、代金支払いを要求するウィンドウが再び表示されるとのこと。
《冨岡晶》
特集
この記事の写真
/
