Kaspersky Lab(私の雇用者)のウィルスアナリストが、Gpcodeの新種を発見した。この悪質なウィルスは、感染したデスクトップの重要なファイルを暗号化し、そのデータを回復するための鍵に支払いを要求するというものだ。
このランサムウェアは1024ビットの暗号鍵を携えて帰ってきた。
このランサムウェアの今回の変種でもっとも大きく変わったのは、1024ビットのRSA暗号アルゴリズムの鍵を使っていることで、作者の鍵なしではこれをクラックすることは不可能になっている。このウィルスの説明を以下に示す。
われわれは、最近になって感染した被害者からの報告を受け始め、サンプルを分析し、米国時間6月4日にわれわれのデータベースにGpcode.akの検出定義ファイルを追加した。ただし、われわれはウィルスそのものを検出することはできるが、現在のところGpcode.akによって暗号化されたファイルを復号化することはできない。このマルウェアは非常に強力な、1024ビットの鍵を使ったRSA暗号を使用している。
RSA暗号アルゴリズムでは、公開鍵と秘密鍵の2つの鍵を使う。メッセージは公開鍵で暗号化することができるが、復号化には秘密鍵を使うことが必要となる。Gpcodeの動作は次のようなものだ。Gpcodeは被害者のマシン上で、そのウィルスの本体に組み込まれた公開鍵を使ってファイルを暗号化する。一度暗号化されてしまうと、そのファイルは秘密鍵を持っている人物にしか復号化できない。この場合は、Gpcodeの作者か所有者だ。
Gpcodeは被害者のマシンでファイルを暗号化すると、暗号化されたファイルに._CRYPTという拡張子を付加し、同じフォルダ内に!_READ_ME_!.txtという名前のテキストファイルを置く。このテキストファイルには、作者から被害者に対し、ファイルは暗号化され「復号化ソフト」を販売する旨を告げるメッセージが書かれている。
≪Your files are encrypted with RSA-1024 algorithm.
To recovery your files you need to buy our decryptor.
To buy decrypting tool contact us at: ********@yahoo.com≫
(あなたのファイルはRSA-1024アルゴリズムで暗号化された。ファイルを回復するには、われわれの復号化ソフトを購入する必要がある。復号化ツールの購入には、次のメールアドレスまで連絡を。********@yahoo.com)
この新種のランサムウェアで使われているYahooの電子メールアドレスは3種類ある。
本件についてさらに知りたければ、Slashdot、Network World、Viruslist.comの記事を読むことを勧める。GPcodeの以前のバージョンに関する背景については、こちらの記事を読むとよい。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
