ビジネスパーソンに向けて、フォーティネットのリサーチ部門である「FortiGuard Labs」が確認・分析した新種亜種など、注目すべきランサムウェアを紹介する本連載。今回は、以下の5つのランサムウェアを紹介します。
- 警察や司法機関を名乗るランサムウェアの亜種(FBIランサムウェア)
- The Wise Guys ランサムウェア
- "Pyschedelic" ランサムウェア
- Inlock ランサムウェア
- Xorist ランサムウェアの新しい亜種
警察や司法機関を名乗るランサムウェアの亜種(FBIランサムウェア)
ランサムウェアの中には、連邦捜査局(FBI)や司法省などの法執行機関を装ったものも少なくありません。このようなランサムウェアは黎明期から存在しています。
その代表例としては、2012年に拡散された「Reveton」が挙げられます。Revetonは最初に欧州諸国で広がり、ターゲットの居住国に合わせて異なる警察組織のロゴを付けたテンプレートによって、ローカライズ(地域化)されていました。この種のランサムウェアはターゲットに対し、「著作権侵害」や「違法な写真・動画の所持」を告発し、罰金を支払うよう促します。
今回発見されたのはその亜種です。「亜種」とは、すでに出回っている不正プログラムなどの一部を改変して作られたマルウェアのことであり、基本的な動きは元のマルウェアとほぼ同一です。しかし、従来型の「シグネチャでマルウェアを検出する」タイプのアンチマルウェア製品では、検出できないことが少なくありません。オリジナルのマルウェアとは、シグネチャが異なっているからです。
今回発見された亜種は自らをFBIと名乗り、ターゲットのマシンに違法コンテンツが存在し、それが原因でファイルを暗号化したと通知してきます。そして「指定電子メールアドレスでFBIに連絡して罰金を支払えば、ロック解除コードが入手できる」と誘導します。
しかし、この通知に記載されたメールアドレスは、当然ながらFBIのものではなく、「Proton Mail」という暗号化電子メールサービスのものです。このサービスはスイス連邦で運用されており、2021年5月時点で5000万人以上の利用者がいると言われています。
また、ホームページのURLも記載されていますが、ここにアクセスしようとしてもエラーになります。この攻撃がどこから行われているのかはまだ特定されていませんが、配布は「PayPal Checker.exe」という名称のファイルを使用して行われています。このファイル名は、PayPalアカウントの有効性をチェックするためのツールにつけられているものです。おそらくこの攻撃は、PayPalの利用者をターゲットにしているものだと思われます。
The Wise Guys ランサムウェア
このランサムウェアは、ターゲットのマシンのファイルを暗号化するのではなく、削除してしまう破壊性の高いものです。実行されると、以下のフォルダ内の全てのファイルが削除されます。
- デスクトップ
- ピクチャ
- ミュージック
- ドキュメント
- スタートメニュー
- お気に入り
- クッキー
- アプリケーションデータ
またファイルだけではなく、これらのフォルダや、バックアップであるボリュームシャドーコピーも消去します。これらのファイルやフォルダを復元する方法はありません。
このランサムウェアは脅迫のためのファイルを一部残し、そこには「マシン上のファイルが暗号化されており、取り戻す唯一の方法は500ドル相当のイーサリアム(暗号資産)を支払って、復号キーを入手すること」と記載されています。しかしファイルはすでに削除されているため、当然ながら身代金を支払っても、ファイルを復元することはできません。非常に悪質な攻撃と言えます。