トレンドマイクロは、警察を装う新たな「身代金要求型不正プログラム(ランサムウェア)」を確認しました。このランサムウェアは、感染ユーザの場所に応じて、その国の言語で話す音声を流します。
トレンドマイクロのリサーチペーパー「Police Ransomware Update」によると、警察を装う不正プログラムやランサムウェアの背後に潜む人物は、この脅威をより効果的なものにするために改良を加えました。ユーザのコンピュータを「拘束」され、「解放」するには金銭を支払わなければいけないとメッセージを表示するだけのランサムウェアの時代は終わりました。
この新たなランサムウェアの亜種は、2012年11月下旬以降、感染ユーザの地元警察を装い、ユーザに手数料や身代金を要求しています。このため、ランサムウェアに感染したコンピュータを持つフランスのユーザは、Gendarmerie nationale(フランス国家憲兵隊)を装った通知を受け取る一方、米国のユーザは、米連邦捜査局(FBI)からのメッセージを受け取る恐れがあります。
トレンドマイクロは、警察を装う新たな不正プログラムの亜種が、罰金を吊り上げるために「声」を備えたと報告を受けました。この亜種(「TROJ_REVETON.HM」として検出)は、感染したコンピュータを動作不能にしますが、ユーザに支払いを促すために単にメッセージを表示するのではなく、音声でもこの支払いを強いるのです。感染ユーザは、不正プログラムが何を言っているのかを知るために翻訳する必要はありません。不正プログラムは、感染ユーザが位置する国の言語を喋ります。
 |
|
|
ランサムウェアは、以前はロシアに限られた脅威とされていましたが、現在、他の欧州諸国、米国およびカナダにも拡大しています。ランサムウェアの主な支払い方法として「Ukash」、「PaySafeCard」や「MoneyPak」といった電子マネーを採用しているため、この脅威の背後にいる人物は、利益を得るだけでなく金銭のやりとりにおける痕跡がほとんど残らないという恩恵を受けます。このため、この不正プログラムから利益を得る犯罪者は、容易に痕跡を隠すことができます。
弊社では、「TROJ_REVETON.HM」として検出する新たなランサムウェアを確認していますが、これは、氷山の一角でしょう。近い将来、歌うランサムウェアといった、更に改良が施された不正プログラムが登場するといっても過言ではないかもしれません。
2012年12月10日、トレンドマイクロのその後の解析により、この不正プログラムは、特定の Webサイトにアクセスし、リモートユーザからの情報を送受信していることが判明しました。また、この不正プログラムは、暗号化されたファイルをダウンロードし、”<システムのルート(通常C:ドライブ)>\Documents And Settings\All Users\Application Data\<反転させたファイル名>.pad” として保存します。この暗号化されたファイルには、DLLファイルおよび音声ファイルである WAVEファイルが含まれています。そして、このダウンロードされた PADファイルが、コンピュータの画面を動作不能にする役割を担います。
これまでのランサムウェアは、ファイルを暗号化していましたが、今回の事例で確認された「REVETON」は、コンピュータを動作不能にし、法令違反についてユーザに通知します。弊社の調査過程において、過去の亜種はコンピュータの画面を動作不能にする実行可能ファイルのみを作成するだけだった一方、「TROJ_REVETON.HM」といった新しい亜種は、「音声」の原因となる WAVEファイルを含んでいることを確認しました。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の事例に関連するランサムウェアの亜種を検出および削除します。追加の予防策として、ユーザは、未知の Webサイトからファイルをダウンロードしたり、疑わしい Eメールに含まれるファイルやリンクを開いたりすることは控えてください。
関連記事:
・「3日以内に 200ユーロ支払え」 - PC を “人質” に金銭を要求するランサムウェアの被害が日本国内にも
/archives/4836
・ランサムウェア(身代金要求型不正プログラム)のアプローチ手法
/archives/2899
・Police Ransomware Bears Fake Digital Signature
http://blog.trendmicro.com/trendlabs-security-intelligence/police-ransomware-bears-fake-digital-signature/
・New Ransomware Plays Its Victims an Audio File, Over and Over and Over…
http://blog.trendmicro.com/trendlabs-security-intelligence/new-ransomware-plays-its-victims-an-audio-file-over-and-over-and-over/
・Police Ransomware: How to Get Your Malware Noticed
http://blog.trendmicro.com/trendlabs-security-intelligence/police-ransomware-how-to-get-your-malware-noticed/
参考記事:
by Jason Pantig (Senior Threat Response Engineer)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)