新種の危険なランサムウェアがインターネット上で拡散、Kaspersky Labが2種を検知 | RBB TODAY

新種の危険なランサムウェアがインターネット上で拡散、Kaspersky Labが2種を検知

 カスペルスキー社のKaspersky Labは3日、ユーザーを脅迫する新種の“ランサムウェア”2種を検知したことを公表した。このマルウェアに感染した場合、PC上のデータが消失する可能性もあるという。

エンタープライズ セキュリティ
暗号化されたファイル
  • 暗号化されたファイル
  • 脅迫文をデスクトップに表示することも
 カスペルスキー社のKaspersky Labは3日、ユーザーを脅迫する新種の“ランサムウェア”2種を検知したことを公表した。このマルウェアに感染した場合、PC上のデータが消失する可能性もあるという。

 「ランサムウェア」とは、ユーザのファイルを人質にとり、暗号化するなどして読めなくしたうえで、解除のための“身代金”を要求するものだ。

 今回発見されたのは、まず悪名高いトロイの木馬「GpCode」の新しい亜種で、ユーザーの承諾なしにdoc、docx、txt、pdf、xls、jpg、mp3、zip、avi、mdb、rar、psdなどのデータファイルを暗号化するとのこと。このトロイの木馬は、11月29日に「Trojan-Ransom.Win32.GpCode.ax」の名前でKaspersky Labのウイルス定義データベースにすでに追加済みとなっている。

 「Trojan-Ransom.Win32.GpCode.ax」は、Adobe Reader、Java、Quicktime Player、Flashの脆弱性を悪用するエクスプロイトが配置された、改ざんサイトを介して拡散したと見られている。2004年に見つかった従来のGPCodeとは異なり、ファイルを暗号化したのち削除せずにデータを上書きするため、消失したデータはリカバリソフトウェアではリカバリできない。また暗号アルゴリズムに、強力なRSA-1024およびAES-256を使っているのも特徴的だ。Kaspersky Labのエキスパートは、現在GpCodeの新たな亜種の調査を進めており、感染したマシンの消失したデータのリカバリ方法を確認している。

 もう1つのランサムウェアは、マスターブートレコード(MBR)を汚染するトロイの木馬だ。Kaspersky Labのウイルス定義データベースに追加されたのは、ドロッパーの「Ransom.Win32.Seftad.a」と、MBRを汚染する本体「Trojan-Ransom.Boot.Seftad.a」の2つ。MBRが汚染されるとデータが書き換えられ、ユーザーはMBRを初期化するパスワードに対して代金の支払いを要求される。3回間違ったパスワードを入力すると感染したPCが再起動し、代金支払いを要求するウィンドウが再び表示されるとのこと。
《冨岡晶》

関連ニュース

特集

page top