2016年8月26日

ランサムウェア「WildFire」の火消しに成功

セキュリティ ニュース

ランサムウェアが大変な脅威であることは、よく知られているとおりです。しかも、ランサムウェアは当分の間、姿を消しそうにありません。とはいえ、例外もあるにはあります。

今回お伝えするのは、そんな例外の1つです。先ごろ、Kaspersky Labはオランダ警察に協力し、また1つ新たな種類のランサムウェアを無効化しました。「WildFire」は、主にオランダの人たちを標的としたランサムウェアです。

2016-08-23 - fireman

WildFireは、被害者の支払いが遅れると追加料金を請求する、せっかちで強欲なタイプのトロイの木馬です。WildFireの場合、8日以内に300ドルを支払うように要求し、この期限を過ぎると請求額が3倍になります。

オランダ警察の国家ハイテク犯罪ユニット(NHTCU)が押収した指揮統制(C&C)サーバーには、5,800個の復号鍵が格納されていました。当社はこの情報をもとに新しい復号ツールを作成しました。すでに nomoreransom.orgnoransom.kaspersky.comsupport.kaspersky.comにて公開されています。

オランダ警察は、悪意あるサーバーを新しいサーバーに置き換え、この新サーバーからWildFireの全被害者宛てに、復号ツールを無料でダウンロードできる旨を伝えるメールを配信しました。

WildFireとは

WildFireは当初から、オランダとベルギーの人たちを標的としていました。実際に、被害者の90%がオランダとベルギーの在住者です。

WildFireはスパムを介して拡散します。スパムメールには、「運送会社が荷物を配達できなかった」と完璧なオランダ語で書かれていて、受取人が再配達を手配するためのフォームをダウンロードできるリンクが含まれています。リンク先のWebサイトはオランダのドメイン名が使われていて、サイト全体が信用できそうに見えました。

このサイトを訪れ、フォームをダウンロードして開くと、悪意あるマクロが有効になり、WildFireがダウンロードされ、実行されます。犯罪者の意思の表れなのか、マクロのコードにはPink Floydの『Money』の歌詞が含まれていました(ポーランド語の変数名もありました)。

wildfire-screen

自分を守るには

マルウェアの種類が1種類だけで、配信方法も1つしかなければ、セキュリティ対策は簡単だったことでしょう。残念ながら、現実はそうではなく、実に多様な脅威が存在します。以下のアドバイスを参考に、脅威を遠ざけましょう:

  1. WildFireの被害に遭ってしまった場合は、nomoreransom.org(英語サイト)から復号ツールをダウンロードしてください。このポータルには、他のタイプのランサムウェア向けの復号ツールも公開されています。
  2. ファイルを復号した後は、PCをスキャンしてください。あなたのPCに忍び込んでいたのは、WildFireだけではないかもしれません。無料で利用できるKaspersky Virus Removal Toolを使って、スキャンしてみてください。

※注:当社の無料ツールは、サポート対象外となっております。ご了承ください。

  1. WildFireは、悪意あるメールを介して配信されます。したがって、フィッシングの仕組みを理解することを強くお勧めします。大切なのは、用心すること。頼んでもいない荷物が届くはずはありません。想定外のお届け物が必ずしも悪いニュースとは限りませんが、思いもよらぬことは詐欺の可能性を知らせる警告だと受け取るべきでしょう。できれば、怪しいファイルは仮想マシンで開いてください。 フィッシングから身を守るためのヒントも、どうぞ参考に。
  2. 何らかのマルウェアがシステムに侵入したというのは、他のマルウェアも同じように侵入できるという明らかなサインです。そこで、強力なアンチウイルス製品を使ってシステムを守ることが重要です。当社としては、カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)をお勧めするところですが、どのセキュリティ製品を使うにしろ、ネット接続機能を持つデバイス全部にインストールし、稼働状態にした上で、定義データベースや製品アップデートが出たらすぐに適用して常に最新の状態を保つようにしましょう。