2016年7月21日

身代金を払っても払わなくても酷い目に遭わせるランサムウェア「Ranscam」

ニュース 脅威

ランサムウェアにやられたとき、こういう思いが頭をよぎるのは自然なことでしょう。わずかな手間でファイルを取り戻せるなら、身代金を支払う価値があるかも、と。Kaspersky Labは、とにかく身代金を支払わないことをお勧めしていますが、新たに現れたRanscamというランサムウェアの場合、身代金を払おうと払うまいと、まったく無意味です。どちらにしても、ファイルは削除されてしまうからです。

Blackhole-Featured

Ranscamについては、Threatpostに記事が掲載されています(英語記事)。記事中では、近ごろの高度なランサムウェアとは異なり、Ranscamはズボラ、または大した能力もないように見えると評されています。工具にたとえるなら、大型ハンマーでしょうか。

残念ながら、大型ハンマーはかなり破壊力のある道具です。高度なランサムウェアは被害者からお金をせしめることが目的なので、お金を手に入れた後は、暗号化したファイルやファイルシステムを元に戻します(そうでない例もありますが)。これに対し、Ranscamはただの詐欺です。

Ranscamの仕組み

Ranscamの感染後、被害者が最初に目にするのは身代金を要求するメッセージです。この脅迫文は他のランサムウェアと同じようなものに見えますが、1つだけ、わずかに異なるところがあります。一般的には、被害者はどこかのサイトへ誘導されてそこで身代金の支払いを証明することになるのですが、この脅迫文には外部サイトへの誘導リンクがなく、代わりに「支払いを完了したので、ご確認ください」というボタンがあります。

RansomNote

現実に、これはわずかどころではなく、相当大きな違いです。被害者がこのボタンをクリックするたびに、次の内容のメッセージが表示されます。「支払いを確認できなかった。身代金を支払わずにこのボタンを押すと、そのたびにファイルが1つ削除される」。おそらく、被害者にプレッシャーを与えて何度も支払いをさせるためでしょう。

実際には、これは単なるはったりなのですが、かといって朗報でも何でもありません。Ranscamは脅迫文の中で、被害者のファイルは「隠されたパーティションに移動されて暗号化されている」と述べていますが、実は、脅迫文を表示する前にファイルを削除してしまっています。したがって、ファイルは取り戻しようがないのです。

Cisco Talosセキュリティインテリジェンス&リサーチグループのリサーチャーが説明しているように(英語記事)、ファイルを壊すだけなら、暗号化や画面ロックについて細かい知識は必要ありません。

今のところ、Ranscamは大規模な攻撃に関与していません。とはいえ、身代金を支払っても解決されるとは限らないことを、改めて思い出させてくれました(言うまでもなく、身代金を支払えば、ランサムウェアは金儲けにもってこいの方法だという犯罪者の考えを増長させることになります)。

Ranscamに削除されたファイルを取り戻す手立てはありません。自分の身を守るには、事前に手を打っておくしかありません。基本的な対策は以下のとおりです:

  1. 添付ファイルを開かない、不審なリンクをクリックしない。Ranscamがどのようにして拡散しているのか、よくわかっていません。しかし、ランサムウェアの拡散によく使われる手口は、メールの添付ファイル、不正なWebサイト、ハッキングされたWebサイトです。100%の確信がない限り、添付ファイルやリンクには触らないでください。
  1. 日頃からデータのバックアップをとり、オフラインのストレージに保存しておく。ランサムウェアにファイルを暗号化または削除されても、バックアップがあれば元に戻せます。
  1. 信頼できるアンチウイルス製品を使う。カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)は、Ranscamを検知名「Trojan-Ransom.MSIL.Agent」として検知し、ブロックします。