Ransoc:説得力のある脅迫

2016年12月7日

想像してみてください。目の前にあるコンピューターの画面に、気になるメッセージが突然表示されました。「こちらはFBIです。あなたのデバイスから違法コンテンツが検出されました。ビットコインで100ドルを支払わなければ、懲役20年および罰金20万ドルが科せられます」

あなたはこう言うでしょう。「そうかそうか、ランサムウェアか!一銭もやらないよ、スペシャルなツールで削除してやる」。しかし、身代金を要求する脅迫メッセージが、もっと具体的にあなたのことを名指しするような内容だったら、こうして冷静に対応できるでしょうか?

ransoc-ransomware-featured-2

このような画面ロック型ランサムウェア(ブロッカー)は、2012~2014年にかけて広く蔓延しましたが、現在はもっぱらスマートフォンへ移動していて、さらに対処が難しくなっています。一方、コンピューターでは、暗号型ランサムウェアが画面ロック型の後を継ぎました。

とはいえ、画面ロック型が完全にコンピューターから去ったわけではありません。さらに進化して、説得力のある方法を使うようになっています。先ごろ発見された画面ロック型「Ransoc」は(英語記事)、この進化の過程がわかる興味深い例です。

Ransocと標準的な画面ロック型ランサムウェアとの大きな違いは、相手を説得する能力が大幅に強化されている点です。Ransocはブラウザーをブロックし、SNSから入手した写真を添えて感染被害者の個人情報を表示します。その上、かなり合理的に思える要求を突きつけてきます。なぜ、こんなことができるのでしょうか?

Ransocはコンピューターに感染すると(多くの場合、アダルトサイトから侵入)、すぐにハードディスクをチェックし、児童ポルノ、海賊版の音楽や映画など、違法コンテンツに関連する情報を探します。また、感染被害者のSkypeやFacebook、LinkedInのアカウントも調べます。こうやって手に入れた情報を使って、個人情報満載の恐喝メッセージを作り上げるのです。

こうして、感染被害者はギョッとする通知を目の当たりにすることになります。個人情報や違法行為の数々が列挙されていて、非常に説得力のある内容です。Ransocは、他人に知られたくない秘密を世間にばらすぞ、場合によってはSNSアカウントに書き込むぞと脅します。ただし、ゆすりのネタが何も見つからなければ、決して脅すことはありませんから、自警団的な一種の正義と見ることもできます。

さらに、Ransocは100ミリ秒に1回、標的がregeditmsconfig、taskmgrツールを実行しようとしていないかチェックし、これらのプロセスが実行されていたら停止して、システムからRansocが削除されないようにします。

Ransocのもう1つ興味深い点は、犯罪者が銀行振り込みで身代金を受け取ろうとしていることです。このため、誰がこの詐欺の仕掛け人なのか見当をつけやすくなりますが、その一方で、犯罪者たちがFBI捜査官のふりをしている以上、ビットコインでの決済よりも銀行振り込みを指定してくる方が説得力があります。

結局のところ、Ransocは3年前に流行したマルウェア、locker 2.0を改良したアップデート版のようなものです。

画面ロック型ランサムウェアを阻止する効果的な方法は2つあります。

  1. 心を落ち着け、ソーシャルエンジニアリングの罠にはまらないようにしましょう。どのようなメッセージが表示されようと、それは法執行機関からではありません。サイバー犯罪者がマルウェアをちょっと改悪して送り付けているだけです。
  2. ご使用のデバイスに、信頼できるセキュリティ製品をインストールしましょう。たとえばカスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)はRansocがデータの収集や脅迫を開始する前に検知・ブロックします。デバイスがこのマルウェアに感染しても、カスペルスキー インターネット セキュリティで除去できます。

その他の種類のランサムウェアや対抗策の詳細については、こちらの記事をご覧ください。