セキュリティベンダーのソフォスが、ブログで連載としてさまざまなランサムウェアを紹介しているが、今回は「VirLock」を取り上げている。
VirLockはそれほど知られていないかもしれないが、高度なランサムウェアだという。2014年後半に報告されたが、バイナリ形式など、多くのファイルの種類に感染し、ユーザーのデスクトップをロックするというものだ。
VirLockファミリーは、アンチウイルス・ソフトによる検出を回避するポリモーフィック型ウイルスであるだけでなく、2層目の暗号技術としてxorやxor-rolを用いてエンコードするなど、複数の層で保護コードを持つ。これにより、通常のアンチウイルス・エミュレーションは、実際のウイルスコードに達してホストファイルをクリーンにする前にエミュレーションに失敗してしまう。
また、ドキュメントや画像が関連したファイルに加えて、バイナリファイルにも影響を及ぼすのが特徴だ。実行されると、複数の自身のコピーをさまざまな目的で起動する。Windowsサービスとしてレジストリして永続的に動かそうとしたり、ファイルインフェクターのスレッドを動かしたり、過去に起動したプロセスをモニタリングして、プロセスが他のプロセスにより終了させられた場合に再起動を試みたりするものもある。また、taskmgr.exeをモニタリングして終了させ、explorer.exeを無効化して他のアプリケーションも終了させる。
ほかのランサムウェアとの違いは、バックアップに利用するボリュームシャドウコピーは削除せず、身代金を要求する脅迫状がないことだ。支払いを促すGUIを表示し、ほかのランサムウェアと同様に、ビットコインでの支払いを求める。通貨はユーザーのマシンの位置情報に基づいた地元の通貨となり、英国ではファイルの復号に250ポンド(約4万2000円)を要求している。
ソフォスはランサムウェア対策として、以下の7点を講じるように呼びかけている。
ファイルのバックアップをとる
Windowsやその他のソフトウェアを定期的に最新版にする
信頼できない電子メールのリンクや添付ファイルをクリックしない
Microsoft OfficeアプリケーションのActive Xコンテンツを無効化する
ファイアウォールをインストールし、TorとI2Pを遮断
リモートデスクトップ接続を無効化
%APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断