ランサムウェアの新種や亜種は、毎日のように出現しています。ランサムウェアの問題に法執行機関も警戒を強めていますが、それでもマルウェア作成者はランサムウェアが一攫千金につながる手段だと考えているようです。
実際、多種多様なランサムウェアが登場しています。同じランサムウェアを繰り返し使うケースや、他の人間が作成したランサムウェアをコピーして利用するケースも見られるようになりました。たとえば、先日発見された暗号化型トロイの木馬Polyglot(別名MarsJoke)(英語記事)は、悪名高い(そしてかなり悪質な)ランサムウェアCTB-Lockerを真似ています。
Polyglotを観察すると、いたるところにCTB-Lockerの痕跡が見て取れます。インターフェイスも、CTB-Lockerにそっくりです。感染したコンピューターのデスクトップの壁紙を変更する点も同じですし、本当に復号可能であることの証明としてファイルを5つまで無料で復号できる点もCTB-Lockerと同じです。
Polyglotが被害者に対して指示する内容も、CTB-Lockerとまったく同じで、文面をコピーして貼りつけたかのようです。インターネットに接続されていないときに表示されるポップアップウィンドウ「Request failed」(リクエスト失敗)まで同じです。
Polyglotで使用されている暗号化アルゴリズムもCTB-Lockerと同一のものが使われています。なかなか強力なアルゴリズムです。
Polyglotは主にスパムメールを通じて配布されます。メールの文面に、重要な文書へのリンクと称する悪意あるリンクが含まれています。当然ながら、リンクの先にあるのは文書ではなく、悪意ある実行ファイルが入ったアーカイブファイルです。Polyglotは、インストールされると、指令サーバーに接続して標的PCに関する情報を送信したり、身代金を処理したりします。当社が確認したケースでは、要求された身代金は0.7 Bitcoin(およそ320ドル)でした。
CTB-LockerとそのクローンであるPolyglotとの目に見える違いは、MarsJoke/Polyglotでは暗号化された後のファイル拡張子が元のままであるのに対し、CTB-Lockerでは拡張子が(通常.ctblまたは.ctb2に)変更されることくらいではないでしょうか。
このようにPolyglotとCTB-Lockerは見た目の点ではよく似ていますが、実はマルウェアとしてはまったく別種です。コードには共通点がほとんどありません。当社のエキスパートの見解では、Polyglotの作成者はCTB-Lockerの見た目を真似ることで、リサーチャーに誤った手がかりを与えようとしています。
CTB-Lockerに暗号化されたファイルを身代金を支払わずに復号する方法は、今もって判明していません。しかし、先ほども述べたように、PolyglotとCTB-Lockerの中身は同じではありません。そして幸運にも、Polyglotには鍵生成ツールにミスがありました。おかげでKaspersky Labは救済措置、つまり被害を受けたファイルをすべて復号できる無料のツールを開発することができました。
Polyglot/MarsJokeに暗号化されたファイルを復号するには、noransom.kaspersky.comで無料ツールRannohDecryptor(バージョン1.9.3.0以降)をダウンロードしてインストールしてください。
Polyglot/MarsJokeに関しては、運に恵まれました。マルウェア作成者は、常に状況に合わせてマルウェアに改良を加えています。たとえば、当社は3回にわたりCryptXXXの復号ツールを開発しましたが、最終的には暗号化アルゴリズムが変更されてしまったために当社のツールでは対応できなくなりました。Polyglotの作成者も、同じことをやってのけるかもしれません。ですから、どんなランサムウェアに遭遇しても復号ツールが提供される、と楽観することはできません。
ランサムウェアから身を守るには、何かされる前に検知することが一番です。そのために役立つのが、セキュリティ製品です。
他にも、こまめにデータをバックアップするようにし、不審な添付ファイルを開いたり怪しいリンクをクリックしたりしないようにするなど、日頃から万一に備えて対策しておくことをお勧めします。