ランサムウェア
サイバー犯罪者は互いに切磋琢磨しています。TeslaCryptを例にとってみましょう。これは比較的新しい系統のランサムウェアで、最初のサンプルが検知されたのは2015年2月でした。TeslaCryptの初期バージョンの主な特徴は、文書、写真、動画などの一般的なファイルだけでなく、ゲーム関連のファイルも標的にしていたことです。技術的な欠陥がいくつかあったために、発見当時はかなり弱いマルウェアでした。
マルウェア作成者は恐ろしげなRSA-2048アルゴリズムを盾に標的を脅していましたが、実際にはそれほど強力な暗号化ではありませんでした。また、暗号化プロセス中に暗号鍵が標的コンピューターのハードディスクに保存されるため、暗号化プログラムの動作を妨害して鍵を記録するか、ディスクの各領域が暗号化される前に鍵を抽出することが可能でした。
しかし、冒頭で書いたように、犯罪者は学習しています。先ごろKaspersky Labのリサーチャーによって発見された最新バージョンのTeslaCrypt 2.0には、盗んだファイルの復号と、マルウェアの指令サーバーの特定を防ぐ新機能が実装されていたのです。
Torを利用するランサムウェアOnionの亜種「CTB-Locker」が現れました。ファイルを暗号化するタイプのマルウェアが増えています。事前対策を今のうちに。 http://t.co/6iza5cStX6 pic.twitter.com/p2xiURzvH3
— カスペルスキー 公式 (@kaspersky_japan) February 2, 2015
第1に、高度な楕円曲線暗号化アルゴリズムが採用されました。これは、非常に厄介なランサムウェアとして有名なCTB-Lockerから取り入れた手法です。第2に、鍵の保存方法が変わり、ディスク上のファイルではなくシステムレジストリが使用されるようになりました。
第3に、ファイルの暗号化の後に表示されるWebページは、別の系統のランサムウェアであるCryptoWallから拝借したものでした。もちろん、支払い先の情報はすべて変更されていますが、残りの文章はそっくりそのままコピーされており、「販売」の観点から見ると極めて効果的です。ちなみに、身代金はかなり高額で、現在のBitcoinの為替レートでおよそ500ドルです。
TeslaCrypt系のマルウェアは、Angler、Sweet Orange、Nuclearなどのエクスプロイトキットによって拡散されることがわかっています。マルウェアの配信方法を説明しましょう。標的が感染Webサイトを訪問すると、エクスプロイトの悪質コードがブラウザー(主にプラグイン)の脆弱性を悪用し、目的のマルウェアをシステムにインストールするという仕組みです。
#TeslaCrypt 2.0 #ランサムウェア :より強力に、より複雑に
Tweet
特に大きな被害が出ている国は、米国、ドイツ、英国、フランス、イタリア、スペインなどです。カスペルスキー製品は、TeslaCrypt系のマルウェア(今回紹介した最新バージョンを含む)を「Trojan-Ransom.Win32.Bitman」として検知します。
TeslaCrypt、その他系統のランサムウェアへの対策として、以下をお勧めします:
- 重要なファイルについては、定期的にバックアップコピーを作成します。コピーは外部メディアに保存し、バックアップコピーが完了したらすぐにコンピューターから取り外してください。この「取り外す」という部分が重要です。というのも、TeslaCryptや他の種類のマルウェアは、ローカルハードディスクだけでなく、ネット接続されたドライブやネットワークフォルダーも暗号化するからです。
- ソフトウェアの更新は、提供され次第インストールすることが肝要です。特に、Webブラウザーとプラグインはすぐにアップデートしましょう。
- 悪意あるプログラムがシステムに侵入してしまった場合は、データベースがアップデートされ、セキュリティモジュールが有効化された最新バージョンのセキュリティ製品で対処するのが一番です。
ヒント