Satana:地獄のランサムウェア

また新たなランサムウェアが発見されました。Satanaはファイルを暗号化し、さらにWindowsの起動プロセスをブロックします。

32 - satan

今年になって、ランサムウェアによる攻撃のニュースが、戦場からの特派員レポートのような勢いで入ってきています。新種のランサムウェアが毎日のように発見され、犯罪者が斬新な方法で個人や企業からダイレクトに金銭を盗もうとしていることが日々明らかになっています。セキュリティ専門家たちが少し前進しても、悪人たちはすぐに新しいランサムウェアのアプローチや手法を考案します。

先日、また高度なランサムウェアが見つかりました。このマルウェアは通称「Satana」(英語で言う「サタン」、悪魔の意)、その名前からはロシア語話者が開発したものである可能性も伺えます。Satanaは2つの悪事を働きます。1つはファイルの暗号化、もう1つはWindowsのマスターブートレコード(MBR)の改ざんです。MBRが改ざんされると、Windowsの起動プロセスが妨害されます。

MBRを壊すトロイの木馬については、以前も取り上げました。悪名高いランサムウェア、Petyaがそれです。Satanaは、自身のコードをMBRに挿入するなど、いくつかの点でPetyaに似た振る舞いを見せます。ただし、Petyaが暗号化するのはマスターファイルテーブル(MFT)であるのに対し、Satanaが暗号化するのはMBRです。また、PetyaはPC上のファイルを暗号化する際にMischaというトロイの木馬を利用しますが、Satanaはどちらも単独でやり遂げます。

コンピューターの仕組みについて、もう少し詳しく説明しましょう。MBRとは、ハードディスクの1領域で、各ディスクパーティションで使用されるファイルシステムの情報や、OSが格納されているパーティションの情報が保存されています。

MBRが改ざん(または暗号化)されると、コンピューターはOSがどのパーティションに格納されているかという重要な情報にアクセスできなくなります。OSを見つけることができなければ、コンピューターを起動できません。Satanaのようなランサムウェアの作成者はこの仕組みを利用し、起動ロック機能を追加して暗号化プログラムを強化したのです。Satanaは、MBRのデータをスワップして脅迫文のコードに置き換え、MBRを暗号化してから別の場所に移動します。

Satanaは、MBRの復号とファイルの復号キーの代金として、0.5ビットコイン(約340ドル相当)を要求します。Satanaの作成者によると、身代金が支払われたら、OSに再びアクセスできるようになり、すべて元どおりになるとのことです。実際のところはともかく、少なくとも犯人はそう述べています。

Satanaがシステムに侵入すると、すべてのドライブとネットワークインスタンスをスキャンし、.bak 、 .doc 、 .jpg 、 .jpe 、 .txt 、 .tex 、 .dbf 、 .db 、 .xls 、 .cry 、 .xml 、 .vsd 、 .pdf 、 .csv 、 .bmp 、 .tif 、 .1cd 、 .tax 、 .gif 、 .gbr 、 .png 、 .mdb 、 .mdf 、 .sdf 、 .dwg 、 .dxf 、 .dgn 、 .stl 、 .gho 、 .v2i 、 .3ds 、 .ma 、 .ppt 、 .acc 、 .vpd 、 .odt 、 .ods 、 .rar 、 .zip 、 .7z 、 .cpp 、 .pas 、 .asmの拡張子の付いたファイルを探して暗号化していきます。さらに、ファイル名の先頭にメールアドレスとアンダーバー3個を追加します(test.jpgというファイル名ならSarah_G@ausi.com___test.jpgとなります)。

satan_mbr_en

メールアドレスは、被害者が犯人と連絡を取るためのもので、このアドレス宛にメールを送って支払い指示を受け、その後復号キーを受け取るという手筈です。これまでに6つのメールアドレスがこの活動に使われていることが判明しています。

幸い、Windowsのロックを部分的に回避することが可能です。ある程度のスキルがあれば、MBRを修復できるのです。ブログ『The Windows Club』に、WindowsのOS修復機能を使ってMBRを修復する方法について専門家が詳しく解説した記事が載っています(英語記事)。ただし、OS修復機能はコマンドプロンプトとbootrec.exeを使いこなせる上級者向けです。この面倒な手順を、一般の人はすぐにマスターできそうにありませんし、試してみる気にもならないかもしれません。

厄介なのは、Windowsのロック解除に成功しても、もう1つの問題、つまり暗号化されたファイルについては未解決のままということです。こちらの救済方法は、まだありません。

Satanaがランサムウェアの活動を始めてからは、まだ日が浅いようです。さほど広まってはおらず、コードにいくつか欠陥も見つかっています。とはいえ、そのうちに改良され、非常に深刻な脅威になる可能性は十分あります。

当社からお伝えしたいのは、常に警戒を怠らないようにしよう、ということです。感染のリスクを抑え、できる限り被害に遭わないようにするために、以下の基本的な対策をぜひ取り入れてください。

1. データを定期的にバックアップする
これは保険だと思ってください。ランサムウェアの攻撃を受けても、バックアップがあれば、OSを再インストールできますし、ファイルを復元できます。

2. 不審なWebサイトにアクセスしたり、不審な添付ファイルを開いたりしない。知り合いから送られてきたリンクやメールであっても、です。くれぐれも慎重に対処しましょう。Satanaの拡散の手口は、ほとんどわかっていません。

3. 信頼できるアンチウイルス製品を使用する。たとえばカスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)では、Satanaを検知名「Trojan-Ransom.Win32.Satan」として検知し、ファイルの暗号化やシステムのロックを防ぎます。

4. 当社からの最新情報にご注目を!
当社では、最新の脅威について、皆さまへ情報をいち早くお伝えできるよう努めています。当社ブログ、SNS、コーポレートニュースにご注目ください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?