PetyaとMischa：ペアで活動するランサムウェア

PetyaとMischaは仲良しです。何をするにも、いつも一緒です…

何かの絵本の書き出しみたいになってしまいましたが、これは身代金要求型マルウェアの話です。PetyaとMischaは、一緒に配布されるランサムウェアです。

当ブログをよくご覧になっている方や、サイバーセキュリティ関連のニュースを追っている方は、Petyaがどんなものかご存知だと思います。Petyaについては、これまで2つの記事で取り上げました。Petyaが出現したときと、その翌日、Twitterユーザーの@leo_and_stone氏がPetyaの復号ツールを作成したときです。

数あるランサムウェアの中でPetyaの存在が際立っていたのは、特定の種類のファイルだけを暗号化するのではなく、ハードディスクのマスターファイルテーブルを暗号化して、コンピューターのハードディスクドライブ全体を読み込めなくするランサムウェアだからです。そのため、Petyaの被害に遭ってしまったら、身代金の支払い用に別のPCが必要です。leo_and_stone氏の復号ツールがあっても別のPCは必要ですが、この場合は身代金を払わずにファイルを復号するために使います。

荒ぶるランサムウェアは、どこまでいくのでしょうか…ハードディスクを丸ごと暗号化するタイプのランサムウェア「Petya」が現れました。 https://t.co/uW9MV8Oj46 pic.twitter.com/qVE2wl56Z8

— カスペルスキー 公式 (@kaspersky_japan) April 12, 2016

Mischaとの出会い

Petyaには弱点がありました。Petyaが悪事を働くにはルートアクセス権を必要とするのですが、権限を要求するメッセージに対してユーザーが［Yes］ボタンをクリックして承諾しない限り、Petyaは標的のコンピューターに悪さをすることができませんでした。そこで作成者は、Petyaを別のランサムウェアとセットにすることで解決を図りました。セットで配布されるのは、同じくロシア風の名前を持つランサムウェア、Mischaです。

PetyaとMischaには、大きな違いが2つあります。Petyaはハードディスク全体を使えないようにしますが、Mischaは特定の種類のファイルだけを暗号化します。この点は朗報と言えるのではないでしょうか。しかし残念ながら、MischaはPetyaとは違って管理者権限を必要としません。作成者は、PetyaとMischaがお互いをうまく補い合うと考えているように見受けられます。

Mischaはどちらかというと、ときおり出現する一般的なランサムウェアに近いマルウェアです。コンピューター内のデータファイルを、AES暗号化を使って暗号化します。Bleeping Computerのブログで指摘されているように、Mischaは暗号化したファイルに4文字から成る拡張子を追加します（英語記事）。たとえば、「test.txt」が「test.txt.7GP3」になる、といった具合です。

Mischaが暗号化するファイルの種類は、膨大な数にのぼります。.exeファイルまで暗号化してしまうので、ほとんどのプログラムが実行できなくなります。しかし、Windowsフォルダーと、インストール済みブラウザーのフォルダーは、暗号化処理の中でスキップされます。Mischaは悪事を終えると、支払い方法を説明するファイルを2つ作成します（YOUR_FILES_ARE_ENCRYPTED.HTMLとYOUR_FILES_ARE_ENCRYPTED.TXT）。

PetyaとMischaは、求人への応募に見せかけたフィッシングメールによって拡散します。発見されたとき、Mischaは「PDFBewerbungsmappe.exe」という名称のファイル（ドイツ語、「PDF応募書類」の意）の中に含まれていました。ファイル名にドイツ語を使っていること、また、このランサムウェアの配信方法から、主な標的はドイツ語話者が働く企業と考えられます。

PetyaとMischaを含む.exeファイルを開こうとすると、ユーザーアカウント制御のウィンドウが表示され、このプログラムに管理者アクセス権限を与えるかどうかを聞かれます。「はい」「いいえ」のどちらを選んでも、アウトです。「はい」を選べばPetyaが、「いいえ」ならMischaがインストールされます。

MischaはPetyaよりもさらに欲深いと見え、身代金として1.93 Bitcoin（米ドルに換算すると約875ドル）を要求します。Petyaの要求額は0.9 Bitcoinです。

面白い事実があります（そもそもランサムウェアに関して何か面白いものがあるのか、という話ではありますが）。「Petya」はロシア系の名前です。「Mischa」もそれらしく見えますが、実際は違います。ロシア語話者なら、真ん中に「c」を付けずに「Misha」とするでしょう。「c」を付けると、とても違和感があります。

残念ながら、Mischa向けの復号ツールはまだありません。Petya向けのものはありますが、実行するには別のPCと多少のコンピュータースキルが必要です。

ランサムウェアPetyaによってハードウェアを暗号化されてしまった場合でも、データを復号できるツールが開発されました。詳しくはこちらの記事をご覧ください＞ https://t.co/HizhHsExsV pic.twitter.com/anpIgmmFNe

— カスペルスキー 公式 (@kaspersky_japan) April 13, 2016

PetyaやMisсhaの被害に遭わないために、以下の対策をお勧めします。

1.  バックアップを取る： バックアップは頻繁に、そして入念に実施してください。最新のバックアップがあれば、大いに役立ちます。
2. 誰も信用しないこと、知識を得ること： 応募書類の拡張子が.exeになっている？なにやら怪しい…。こんなときは開かないでおきましょう。念には念を、です。
3. 優れたセキュリティ製品をインストールする： カスペルスキー インターネット セキュリティ（カスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム）には多層防御機能があり、Mischaなどのランサムウェアの侵入を防ぎます。たとえばアンチスパム機能は、スパムやフィッシングメールからPCを保護します。アンチウイルス機能は、MischaとPetyaを「Trojan-Ransom.Win32.Petr」という検知名で検知し、削除します。さらにシステムウォッチャーが、異常な活動（複数のファイルを暗号化しようとする操作など）を検知してブロックします。