2016年4月12日

ハードディスクを食らうランサムウェアPetya

セキュリティ ニュース 脅威

2016年はランサムウェアの年、そう宣言してもよさそうです。まるで雨後の筍のように、新しいファミリーやバージョンが次々と顔を出しています。

ランサムウェアは、急速な進化を続けています。新バージョンの数々では、長い鍵長の強力な非対称暗号化方式が採用されていて、鍵がなければ復号できないようになっています。また、完全な匿名性を維持するために、犯罪者はTORやBitcoin決済を利用し始めています。そして、先ごろ登場したランサムウェアPetyaは、ファイルを1つずつ暗号化するのではなく、いわばハードディスクを丸ごと一気に暗号化してしまいます。

petya-ransomware-fb-3

PetyaはどのようにPCに感染するのか

Petyaは主にビジネスユーザーを狙うランサムウェアの一種であり、仕事の応募書類を添付していると見せかけたスパムメールで拡散されます。標準的な感染シナリオは、このような感じです:

人事部の社員が、自社への就職を希望する人物からメールを受け取る。メールには、履歴書を装ったファイル(実際は.exeファイル)へのDropboxリンクが記載されている。

このファイルをクリックしても、あるはずの履歴書は表示されず、代わりに死のブルースクリーンが表れます。これは、Petyaがその人のPCに侵入して犯罪行為を開始したことを意味します。

ハードディスクはいただいた

一般的なランサムウェアは、写真やOffice文書など特定の種類のファイルを暗号化するだけです。被害者が感染PCを使って身代金を支払えるように、OSには危害を加えません。ところが、Petyaははるかに凶悪で、ハードディスクへのアクセスを丸ごとブロックします。

かいつまんで言うと、ハードディスクの構成に関わらず(パーティションが1つでも複数でも)、マスターブートレコード(MBR)という見えないディスク領域が必ず存在します。この領域には、パーティションの番号や構成に関するデータがすべて格納されているほか、OSを起動する特殊なコード、ブートローダーが含まれています。

このブートローダーは、OSが起動する「前に」必ず実行されます。Petyaは、まさにここに影響を及ぼすのです。Petyaはブートローダーを改竄し、PCにインストールされているOSではなく、Petyaの不正なコードをロードします。

外からは、Check Disk(チェックディスク)が実行されているように見えます。OSがクラッシュした後にチェックディスクが走るのは、よくあることです。しかし実際、このときPetyaが実行しているのは、マスターファイルテーブルの暗号化なのです。マスターファイルテーブルもユーザーには見えない部分で、ファイルやフォルダーの割り当てに関する情報が格納されています。

ハードディスクを図書館だと考えてみましょう。それも数百万、さらには数十億もの書籍が集まった巨大な図書館です。マスターファイルテーブルは、図書目録の役割を果たします。まあ、これではざっくりしすぎているので、もう少し実際に近づけて説明してみましょう。ハードディスク内の「書籍」はひとまとまりのアイテムとして保存されることはほとんどなく、ページや紙切れの状態で保存されています。大量に。しかも、順番通りになっておらず、かなり雑然としています。

この状況で「図書目録」を盗まれてしまうと、1冊の「書籍」を見つけ出すのがいかに難しいかイメージできると思います。まさにこれが、ランサムウェアPetyaのしていることです。

暗号化が完了すると、Petyaは真の姿を表します。ASCII文字で描かれたドクロのような絵が、画面に映し出されるのです。あとは、お決まりの展開です。ハードディスクを復号してファイルを取り戻したければ身代金(0.9 Bitcoin、約380ドル)を支払え、と要求してきます。

Petyaが他のランサムウェアと唯一違うのは、完全にオフラインであるという点です。それもそのはず、PetyaはOSを「食い尽くしてしまった」わけですから。被害者が身代金を支払ってデータを取り戻すには、別のコンピューターを用意しなければなりません。

Petya対策

残念ながら、近ごろの他のランサムウェアと同様、Petyaで暗号化された情報を復号する方法はまだ見つかっていません。とはいえ、我が身とデータを守る方法はいくつかありますし、Petyaの拡散について良いニュースもあります。

良いニュースは、Dropboxのクラウドストレージに置かれていたPetyaの悪意あるアーカイブを、Dropboxが削除したことです。これで犯罪者は別の拡散方法を探さなければなりません。悪いニュースは、拡散方法を見つけるのにそれほど時間がかからないということです。

そこで、自衛の方法です。何をすればよいのでしょうか。

  1. 死のブルースクリーンが表示された時点では、マスターファイルテーブルの暗号化はまだ開始されておらず、すべてのデータが破損しているわけではありません。そこで、ブルースクリーンが表示され、再起動とチェックディスクが始まったら、すぐにシャットダウンしてください。この段階なら、ハードディスクを取り出して別のコンピューターにつなぎ(ただしブートデバイスとして使用しないこと!)、ファイルを復元できます。
  2. Petyaは、マスターファイルテーブルを暗号化するだけで、ファイル自体には何もしません。ハードディスク復旧の専門家の手を借りれば、ファイルを復元できる可能性があります。復元作業は複雑で時間がかかり、費用もそれなりに必要ですが、基本的には復元可能です。ただし、自分ではやらないでください。1回でもミスをすれば、ファイルは永遠に消えてしまいます。
  3. 積極的な防御策として一番の方法は、良いセキュリティ製品を使うことです。カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)はスパムメールをブロックする機能を備えており、Petyaへのリンクを含むメールを水際で食い止めることができます。万一Petyaが何らかの方法で侵入したとしても、本製品は「Trojan-Ransom.Win32.Petr」として検知し、アクティビティをすべてブロックします。他のカスペルスキー製品も同様に対応します。