Angler Exploit Kitを利用するランサムウェア「TeslaCrypt」の実態とは?

末岡洋子  [2016/01/08]

Sophosブログではランサムウェアを取り上げる特集を展開しているが、今回はTeslaCryptについて見てみたい。

TeslaCryptはEccKryptとも言われるもので、一部のユーザーのファイルを暗号化し、解読に身代金を要求する。ほかのランサムウェアと同様、暗号化にはAES対称キー暗号化を利用する。

TeslaCryptは、Anglerエクスプロイトキットやその他の既知のエクスプロイトキットを経由して幅広く広がっている。Anglerを利用して、Adobe Flashの脆弱性(CVE-2015-0311)を悪用し、成功するとTeslaCryptをペイロードとしてダウンロードする。

Anglerは、感染したWebサイトから挿入されたiflame経由で悪用される。難読化コードとアンチVMテクニックを含むランディングページにリダイレクトし、アンチウイルスソフトやマルウェア解析ツールの存在を調べる。

それぞれの難読化コードに対し、同じWebページに難読解除スクリプトが含まれている。実行後、ファイルを暗号化すると、Torプロキシサーバー経由でbase-64で暗号化されたパラメーターとして詳細とともにネットワークC&Cサーバーに接続する。その後GUIウィンドウを起動、ユーザーにファイルが暗号化されたことを通知し、支払方法を表示する。

さらには、ファイルを1つだけ無料で解読するオプションも提供する。これは、すべてのファイルを復元するために支払うよう推奨するのが目的だ。支払いには、Bitcoin、PaySafeCard、Ukashなどを利用できる。GUIは英語のみで、英語以外のユーザーをターゲットとした例は、まだ確認されていないという。

TeslaCryptはCryptoWallに次いで、世界各国で被害が報告されている。

Sophosは、アンチウイルスソフトを最新のものにする以外の対策として、以下の対策を推奨している。

  • ファイルのバックアップをとる

  • Windows OSとソフトウェアを定期的に最新のものにする

  • 信頼できない電子メールのリンクや添付ファイルをクリックしない

  • 「Microsoft Office」アプリケーションのActiveXコンテンツを無効化する

  • ファイアウォールをインストールし、TorとI2Pを遮断して特定のポートを制限する

  • リモートデスクトップ接続を無効化する

  • %APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断する



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

MRJの5月進捗 - 2号機が約130分間の初飛行、G7で地上オペレーション披露
[16:32 5/31] 趣味
KDDI、新サービス「au STAR」発表 - 長期契約者にはWALLET ポイント付与
[16:01 5/31] 携帯
ダイエットのきっかけになった言葉は? ‐ 女性3位はブタなど"動物例え系"
[16:00 5/31] ヘルスケア
ASUS、「ZenFone 3シリーズ」3製品を発表--フルメタルボディのモデルも登場
[15:47 5/31] 携帯
オリックス・レンテック、金属3Dプリンタの導入支援サービスを開始
[15:43 5/31] テクノロジー

求人情報