Syrk:フォートナイトのチートツールに潜むランサムウェア

2019年8月29日

サイバー犯罪者は、世間で評判になっているものから利益を得ようとするものです。人気のあるゲームもその1つで、マルウェアが海賊版のゲームゲームのモバイル版のふりをするのはよくあることです。特に後者の場合、まだ公式にリリースされていないはずのモバイル版ゲームを装うことがあります。

最近現れた暗号化型ランサムウェア「Syrk」は、2年間で2億5,000万超の登録プレイヤー数を記録したゲーム「フォートナイト」のチートツールになりすましています(英語記事)。1つのパッケージに、自動照準を行うaimbot(オートエイムツール)、WH(ゲーム内で他のプレイヤーの位置を発見するチート。別名ESP)の2つが入っているという触れ込みです。しかし、このパッケージが実際に行うのは、感染先でファイルを暗号化し、身代金を要求することなのです。

ランサムウェアSyrkの仕組み

Cyrenのリサーチャーによれば、Syrkは実際のところ、オープンソースのランサムウェアをコピーしたものです。実行すると指令サーバーに接続し、以下のプログラムを無効化します。

  • Windows Defender
  • ユーザーアカウント制御(User Account Control:UAC。管理者権限が必要なアクションを実行する場合にユーザーに許可を求めるシステム)
  • 感染を検知するためにプロセスを監視するソフトウェア(Task Manager、Process Monitor、Process Hackerなど)

Syrkは自動実行するプログラムのリストに自分自身を追加するため、単にコンピューターを再起動するだけでは削除できません。コンピューターにUSBメモリが接続されていると、Syrkはそちらにも感染を試みます。

Syrkは次に、メディアファイル、テキスト文書、スプレッドシート、プレゼンテーションファイル、ZIPおよびRARのアーカイブファイル、PhotoshopやMicrosoft Visual Studioのファイルを探しだして暗号化します。暗号化されたファイルには「.SYRK」という拡張子が付きます。

モニターには身代金を要求するメッセージが表示されます。このメッセージを閉じることはできません。

ガイ・フォークスの仮面が描かれたメッセージ画面には、ファイルを元に戻す唯一の方法は犯人にメールで連絡を取り要求額を支払うことだと書かれています。身代金支払いには期限が設けられています。この脅迫文によると、暗号化したファイルは2時間ごとに削除されます。最初の2時間が経過すると写真フォルダー、次にデスクトップフォルダー、最後はドキュメントフォルダーのファイルが削除対象になります。

ファイルを無料で取り戻す方法

ありがたいことに、身代金を支払う必要はありません。Syrkがコンピューターに侵入してファイルを暗号化してしまった場合も同様です。現行バージョンのSyrkは、ファイルの復号に必要な鍵を、感染したコンピューターに保管します。鍵は「C:\Users\Default\AppData\Local\Microsoft\」フォルダー内の「-pw+.txt 」または「+dp-.txt」というファイルの中にあります。

ファイルを復元するには、以下の手順に従ってください。

  • 鍵をコピーする。
  • 身代金要求メッセージのウィンドウで、[Show My ID]をクリックする。IDと「Enter the key to Decrypt your Files」という文が表示されたページが開く。
  • 表示されているフィールドにコピーした鍵をペーストして、[Decrypt my Files]をクリックする。

暗号化された写真やドキュメントは復元され、このマルウェアは2つの「.exe」ファイルを作成して実行し、マルウェアの残骸を削除します。

ファイルを元に戻す方法はほかにもありますが、こちらは少々困難です。このマルウェアは復号用コンポーネントを備えているので、これを抽出して実行することでファイルを復元するという方法です。ただし、感染は手動で除去しなければなりません。詳細はこちら(英語記事)をご覧ください。

ランサムウェアから身を守るには

リサーチャーによれば、Syrkによって削除されたデータは、専門家の手助けが必要かもしれないものの、取り戻せる可能性が高いとのことです。ファイルの復元に関しては、今のところローカルに保管された鍵が有効のようですが、いずれマルウェアの開発者がマルウェアを修正して、身代金を支払わずにファイルを復号する方法が使えないようにしてしまうかもしれません。いつものことですが、一番の対策はランサムウェアの被害を防ぐことです。

  • 信用できないWebサイトからプログラムをダウンロードしない。「超クールに」プレイできるようになる、という売り文句が付いていたら、特に怪しいと思いましょう。
  • ファイルのバックアップをとり、コンピューターから直接アクセスできないところに保管する。外付けのハードディスクドライブやUSBメモリを使用する場合は、バックアップを行うときだけデバイスを接続するようにしてください。
  • 信頼できるセキュリティ製品をインストールする。カスペルスキー セキュリティは、Syrkを悪意あるオブジェクトとして検知します。Syrkをダウンロードしようとしたり、実行しようとしたりした場合でも、あなたのファイルに害が及ぶのを防ぎます。