2016年9月9日

Windows Updateのふりをするランサムウェア、Fantom

ニュース 脅威

Kaspersky Labは、OSとソフトウェアの定期的なアップデートをお勧めしてきました。脆弱性に修正パッチを適用しないでいると、マルウェアによって悪用される可能性があるためです。さて、「Fantom」という名のランサムウェア(英語記事)は、まさにこのアップデートという概念自体を悪用します。

fantom-ransomware-featured

技術的な観点からいくと、Fantomは似たタイプのその他ランサムウェアとほぼ変わりがなく、EDA2をベースとしています。EDA2はオープンソースのランサムウェアコードであり、失敗に終わったウトゥク・セン(Utku Sen)氏の実験の一環として開発されました。しかしFantomの特徴は、少々度を超した隠蔽工作にあります。

Fantomがどのような方法で感染を拡げているのか、今のところは不明です。何らかの方法でコンピューターへ侵入した後は、暗号化キーを作成、キーを暗号化、後で使用するために指揮統制(C&C)サーバーに保管、というランサムウェアの標準的な手順を踏みます。

続いてFantomは、侵入したコンピューターをスキャンし、暗号化対象のファイルタイプ(一般的なoffice文書形式、オーディオ、画像など、350種以上)であるファイルを探します。前述した暗号化キーを使ってファイルを暗号化し、暗号化したファイル名に拡張子「.fantom」を追加します。なお、こうした処理がバックグラウンドで進行する間、被害者の目の前では興味深い展開が繰り広げられます。

先へ進む前に、このランサムウェアの実行ファイルがWindows Updateを装う点に触れておきましょう。このマルウェアが活動を開始すると、1つではなく2つのプログラムが実行されます。1つは暗号化プログラム、もう1つは何の問題もなさそうな名前の小さいプログラム、WindowsUpdate.exeです。

WindowsUpdate.exeは、Windows Updateの画面(Windowsのアップデート中であることを示すブルースクリーン)を装うために使われるファイルです。Fantomがバックグラウンドでユーザーのファイルを暗号化している間、画面には「更新プログラム」(実際は暗号化ですが)の処理中であると表示されます。

windows-update-screen

この手口は、コンピューター上での不審な活動から被害者の気をそらすことを目的としています。偽のWindows Updateは全画面モードで実行され、他のプログラムへのアクセスを視覚的にブロックします。

怪しいと思ったら、[Ctrl]+[F4]キーを押せば偽の画面を閉じることができますが、閉じてもファイルの暗号化を止めることはできません。

暗号化が終わると、Fantomは自らの痕跡を消し去り(実行ファイルを削除)、html形式の脅迫文を作成して各フォルダーにコピーした後、デスクトップの壁紙を通知メッセージに置き換えます。被害者が自分たちに連絡をとり、支払条件を話し合ったり、さらに詳しい指示を受け取ったりできるように、メッセージ内には連絡用メールアドレスが提示されます。

ところで、連絡先を示すのは、ロシア語話者のハッカーに見られる典型的なパターンです。攻撃元を断定することはできませんが、この他にも犯人がロシア出身である可能性を示す兆候があります。たとえば、Yandex.ruのメールアドレスが使われていること、Bleeping Computerが「文法も言い回しも、これまでに見た中で一番ひどい脅迫文かもしれない」と言及するほど稚拙な英語、などが挙げられます。

ransom-note-screen

残念ながら、現時点で暗号化されたファイルを復号するには、身代金を支払う以外に手段がありません。もっとも、当社は身代金の支払いをお勧めしていません。最善の策は、とにかく被害者にならないようにすることです。以下のヒントを参考にしてください:

  • 定期的にデータのバックアップを作成し、ネットに接続されていない外部ディスクにバックアップを保存しましょう。バックアップがあれば、PCがランサムウェアに感染した場合でも、ファイルを復元可能です。
  • 慎重さを常に忘れないようにしましょう。メールに添付された怪しげなファイルは開かない、怪しげなWebサイトには近づかない、嘘っぽいオンライン広告をクリックしない、などです。その他タイプのマルウェアと同じように、Fantomも、こうしたものを介してシステムに侵入する可能性があります。
  • 強固なセキュリティ製品を使用しましょう。ランサムウェアも、マルウェアの一種です。
    なお、当社製品は、Fantomを「Trojan-Ransom.MSIL.Tear.wbf」または「PDM:Trojan.Win32.Generic」の検知名で検知します。