KeyPass:無差別的なランサムウェア

2018年8月16日

Kaspersky Labでは、ランサムウェア「KeyPass」を観測しました。無害なインストーラーとしてダウンロードされたファイルが、コンピューターにマルウェアをダウンロードするという仕組みです。

Keypass(英語記事)無差別に感染するランサムウェアで、世界中のコンピューターに感染しています。88日の夕刻から810日にかけての36時間の間に、20か国以上で観測されています。本記事執筆時点では、ブラジルとベトナムでの感染が最も多く、欧州やアフリカでも感染者が出ており、世界中に感染が広がっています。

ファイルタイプを選ばない暗号化

KeyPassは、人質に取るファイルのタイプについても無差別的です。多くのランサムウェアは特定の拡張子を持つファイルを標的にしますが、KeyPassはわずかなフォルダーを例外とするほかは、コンピューター上のすべてのファイルを解読不能とし、拡張子を「 .keypass」に変更します。ファイルは最初の5MBが暗号化されるだけで全体が暗号化されるのではありませんが、かといって事態が楽観できるわけではありません。

「処理済みの」ディレクトリの内部には、マルウェア作成者の要求が(やや拙い英語で)書かれたテキスト形式のファイルが残されます。要求メッセージは、ファイル復元のためには復号用のソフトウェアと一意のキーを購入しなければならない、という内容です。さらに、実際にファイルを復元できることを確認できるように、ファイルを13個送れば無料で復号する、という旨も記されています。

攻撃者がファイルと引き換えに要求するのは300ドルですが、この金額は感染後72時間以内のみに適用されるという注意事項が添えられています。ファイルを復旧する方法の詳細を入手するには、2つ提示されているメールアドレスのいずれか宛てに、要求文に書かれているIDを送らねばなりませんが、当社では複数の理由から身代金の支払いをお勧めしていません

KeyPassには変わった特徴があります。活動を始めたときにコンピューターが何らかの理由でインターネットに接続されていない場合、KeyPassは指令サーバーから個人の暗号キーを受け取ることができません。この場合、KeyPassはハードコードされたキーを使います。要は手元に暗号キーがあるわけで、暗号化されたファイルを問題なく復号できるということになります。しかしながら、暗号化に関するエラーはこれだけです。

当社で把握するかぎりではKeyPassは自動的に活動していましたが、作成者は手動によるコントロールのオプションも用意しています。KeyPassの手動による配布、つまりは標的型攻撃に利用する意図がうかがえます。サイバー犯罪者が被害者のコンピューターへリモート接続して首尾よくランサムウェアをアップロードできた場合、特定のキーを押すと特定のフォームが有効になります。このフォームでは、KeyPassが暗号化対象としないフォルダーの指定、身代金要求メッセージや暗号キーの編集など、暗号化設定を変えることが可能です。

KeyPassからコンピューターを守るには

KeyPassによって暗号化されたファイルを復号するためのツールは、今のところ開発されていません。したがって、唯一の対策は、感染しないようにすることです。

  • 怪しいWebサイトからよく知らないプログラムをダウンロードしない。また、少しでも疑念を感じるようなリンクはクリックしない。これらは、Web上にあるマルウェアに感染しないための基本でもあります。
  • 重要なファイルはすべてバックアップをとる。バックアップ方法の詳細は、こちらの記事を参照してください。
  • 不審なプログラムを認識してブロックする機能を持つセキュリティ製品を使用する。カスペルスキー インターネット セキュリティには、ランサムウェア対策モジュールが搭載されています。