2017年6月9日

日本で検知が急増中のランサムウェア

セキュリティ ニュース 脅威

※2017年6月16日更新:暗号化されたファイルを復号するツール「Rakhni Decryptor」に関する記述を末尾に追記しました。
※2017年6月20日更新:システムウォッチャーに関する説明ページのリンクを変更しました。

日本時間の2017年6月7日23時頃から6月8日深夜にかけ、ランサムウェア「Jaff」の亜種と見られるマルウェアが添付されたスパムメールが世界中で拡散したようです。

このスパムメールはプリンターや複合機からの通知であるかのように装い、添付されたZIPファイルの中にランサムウェアの実行ファイルを潜ませています。次の画像は、攻撃に使用されたランサムウェア付きスパムメールの例です。

※この先は、分析のために添付ファイルをクリックするなどの操作を行いますが、実際にスパムメールを受け取った際にはそうした操作を行わないでください。

図1. ランサムウェアが添付されたスパムメール

カスペルスキー製品では、このランサムウェアを「Trojan-Ransom.Win32.Scatter.vx」として検知します。この検知名をもとにKSN(Kaspersky Security Network)の統計情報を確認したところ、全世界的に検知台数が急増していることがわかりました。

図2. カスペルスキー製品でのTrojan-Ransom.Win32.Scatter.vx検知タイムライン

図3. 検知している国の地理的分布

図4. 検知している国 – 上位10か国

さらに検知台数の内訳を確認してみると、東南アジア、東アジアの国々が上位に来ていることがわかります。中でも日本の検知台数は2,792と、群を抜いて多いことが判明しました。

では、実際に感染するとどのようになってしまうのか、ランサムウェアの動きを確認しましょう。

これはWindows 7で動作を検証したときの様子です。ランサムウェアが実行されると、デスクトップにこのような英語のメッセージが現れます。英語メッセージの内容は「あなたの復号IDはXX番です。ファイルは暗号化されました。ファイルを復号するためにはキーが必要です…」といったものでした。

図5. ランサムウェア感染時のデスクトップ画面

次に、実際にファイルが暗号化されているか確認してみます。こちらは感染前と感染後の画像です。感染後はファイルが暗号化され、「.sVn」という拡張子が付けられています。

図6. ランサムウェア感染前と感染後の、ファイルが変化した様子

感染後、表示される指示に従って身代金の支払い条件を見に行くと、日本円で約18万円(6月8日17時頃時点)のビットコインでの支払いが要求されていました。

図7. 身代金を支払うための指示が書かれたWebサイト

すでによく知られている通り、ランサムウェアへの対策としては、データのバックアップをしておくこと(オフラインで!)、OSやシステムのアップデートをすること、セキュリティ製品を最新の状態で使用することが必要です。バックアップさえ確実にしておけば、もしランサムウェアに感染してしまったとしても、このような高額の身代金を支払う必要はありません。また、不審なメールは開かない、常にファイルの拡張子を表示させるといった基本的な対応も、今一度思い出していただきますようお願いします。

カスペルスキー製品をご利用されている場合、システムウォッチャーに含まれるBehavior Stream Signatures(BSS)という機能を有効にしていれば、暗号化されたファイルをロールバックすることができます(注意:この機能はデフォルトで有効ですが、この機能が正しく動くためには、マルウェアに感染する前から有効である必要があります)。詳しくはこちらの記事をご参照ください。

図8. カスペルスキー インターネット セキュリティ 2017利用時にランサムウェアによって変更されたファイルがロールバックされた様子

カスペルスキー製品では、この脅威を以下のように検知・ブロックします。

  • Trojan-Ransom.Win32.Scatter.vx

Kaspersky Labでは、Jaffによって暗号化されたファイル(拡張子「.jaff」「.wlu」「.sVn」)を復号するための無料ツールをご用意しました。以下よりダウンロードしてお使いください(リンク先は英語です)。