身代金を支払ってもファイルが復元されない新たなランサムウェアが発見された。Cisco Talosセキュリティチームによると、この新種のランサムウェア「Ranscam」は「Cryptowall」や「TeslaCrypt」など「本物の」ランサムウェアには遠く及ばず、複雑性に欠け、復号やファイル復元に関してはまともな機能を全く備えていないという。
このマルウェアは被害者のファイルを暗号化したと宣言し、ランディングページを立ち上げて、0.2ビットコインを要求する。その後、侵害されたシステム上で支払いに関係ないクリックが実行されるたびにファイルが削除されるとして、圧力を加えてくる。
提供:Cisco Talos
しかし、これは完全な嘘である。
「泥棒たちに、もはや自尊心はない」とTalosは記している。「Ranscamは単に被害者のファイルを削除するだけだ。被害者がランサムウェア作成者の要求に応じたとしても、脅迫者が被害者のファイルを復元するとは必ずしも信じられないという根拠を示す、さらなる事例となる」
このランサムウェアでは、被害者のファイルが「隠され、暗号化されたパーティション」に移されたと表示される。これは珍しいことだ。多くのランサムウェアでは単に、該当ファイルは元の場所にあるが、アクセスできないように暗号化されていると表示される。
被害者が身代金を支払うと、決済を認証するというボタンをクリックできるようになる。しかし、実際には認証は実行されない。ボタンをクリックすると新たな画像が表示され、そこには認証が失敗したことと、支払いが実行されるまではクリックするたびに新たなファイルが削除される旨が書かれている。
つまり、支払いを要求されるものの、実際には期待しても無駄である。ファイルはすでに削除されており、このマルウェアにはファイルを復元する機能がない。
Ranscamはファイルを暗号化するのではなく、ユーザーのディレクトリを走査してデータを単純に削除する。さらに、システム復元に必要な「Windows」のファイルも破壊し、シャドーコピーも削除し、加えてセーフモードで起動するのに必要なレジストリキーを削除したり、タスクマネージャーを無効にするようレジストリキーを設定したりする。被害者にできることが完全なクリーンインストールしかないようにしているのだ。
研究者らは以下のように述べている。
このマルウェアに暗号化(および復号)機能がないことから、攻撃者は「手っ取り早く金を手に入れる」ことを目的としているようだ。これはいかなる点でも洗練されているとはいえず、Cryptowallなどのランサムウェアにあるような機能を備えてはいない。
攻撃者が被害者から支払いを受けるために複数の異なるビットコインのウォレットアドレスを用意していないため、TalosチームはRanscamへの感染によって発生した取引を追跡することができた。攻撃者に送金されたのは、合計でわずか277ドル61セントだった。
「これはおそらくアマチュアのマルウェア作成者によるものであり、洗練されたキャンペーンではない」とTalosは述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。