ユーザーのシステムを完全に暗号化し、OSを使用不能にするランサムウェアが発見された。
ほとんどのランサムウェアはシステムに感染してファイルをロックしようと試みるが、「Petya」と呼ばれる新種のランサムウェアはさらに一歩先を行っており、ハードドライブとOSへのアクセスを完全に遮断する。
Bleeping Computerのセキュリティ研究者であるLawrence Abrams氏によると、Petyaはドイツ企業の人事部を標的にしていることが明らかになったという。アプリケーションへの「Dropbox」リンクを含むフィッシング電子メールが標的の企業に送信され、それを実行すると、Petyaがシステムにインストールされてしまう。
Petyaがインストールされると、マスターブートレコード(MBR)が悪質なローダーに置き換えられ、システムが強制的に再起動させられる。再起動の際、「Windows」マシンはOSの代わりにその悪質なコードを読み込んでしまう。
その後、システムツールのチェックディスク(CHKDSK)に偽装した画面が表示され、「スキャン」を実行する。この間、Petyaはスキャンを実行しているように見せかけて、そのドライブのマスターファイルテーブル(MFT)を暗号化する。
「MFTが破壊(このケースでは、正確には暗号化)されると、コンピュータはファイルの保存場所や存在を認識できなくなり、ファイルへのアクセスが不可能になる」(Abrams氏)
感染が完了し、ユーザーのディスクがアクセス不能になると、ビットコインでの支払いを要求するロック画面が表示される。この画面には、「Tor」ネットワークに接続して、特定の「.onion」にアクセスし、身代金を支払う方法も記載されている。
このとき、被害者は自分のユニークなユーザーIDを使って、システムのロックを解除しなければならない。
現在、Petyaの感染を解決する方法はない。身代金は0.9BTC(370ドル)と高額で、ユーザーに選択肢はほとんどない。Abrams氏によると、「FixMBR」コマンドを使ったり、ほかの手段でMBRの修正を試みたりしても、「暗号化されたMFTは復号化されず、ファイルとWindowsにアクセスできない状態は変わらない」ので無駄だという。
つまり、MBRの修正が選択肢になり得るのは、ユーザーがデータの喪失とWindowsの再インストールをいとわない場合のみだ。
Malwarebytesのセキュリティ専門家Hasherezade氏(ハンドル名)やEmisoftのFabian Wosar氏など複数の研究者が現在この問題を調査している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
