最近見つかったランサムウェアの要素を持つハイブリッド型のスケアウェアや2008年のGPcodeのランサムウェア攻撃に続き、サイバー犯罪者は再びランサムウェアの概念への興味を示した。
PandaLabsは新たに発見されたランサムウェアについて報告している。これは、影響を受けたユーザーのPCをロックし、これを無効化するのにプレミアムSMSを要求するというものだ(訳注:プレミアムSMSはロシアで一般的な携帯電話のショートメッセージングサービスの1つで、メッセージの送信に伴って情報料を課金することができるもの)。
Trj/SMSlock.Aには自己伝播のための機能は持っておらず、典型的な偽コーデックの形態で伝播しており、1週間以上前から出回っている。(ロシア語の)メッセージでは、影響を受けたユーザーに対し、解除コードを受け取りたければ偽の個別番号を特定の電話番号にSMSを送ることを求めている。収益化の手法の観点から見れば、このアプローチは最近のモバイルマルウェアTrojan-SMS.Python.Flockerに似ている。これは、携帯電話の口座のクレジットを転送するもので、2006年に発見された、モバイルマルウェアRedBrowserの自動的にプレミアム料金の電話番号にSMSメッセージを送る機能を真似ている。
SMSlock.Aはどの程度危険なのだろうか。これはGPcodeと比較すると、技術的な洗練度は低く、このランサムウェアを迂回するのは比較的簡単だ。Dr.Webは解除コードを自動生成する仕組みまで公開しており、影響を受けたユーザーは金銭を支払う必要はない。
確かなことは、ランサムウェアは一時的な流行などではないということだ。実際、Trend Microの「Annual Threat Report: Cybercriminals are Working Faster than Ever」では、2009年の第2四半期にはターゲットを絞ったランサムウェア攻撃が増えるだろうと述べられている。現在の亜種は自己伝搬機能を持っていないものの、ここで使われている基本的な伝搬方法は、偽コーデックを配るのに使われている何百もの検索エンジンを利用した伝搬戦略と同じものだ。(次の記事も参照して欲しい。サイバー犯罪者がGoogle Trendsのキーワードをマルウェアに利用、Massive comment spam attack on Digg.com leads to malware)
UPDATE: 別の亜種が発見されている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
