セキュリティ研究者が「GIBON」と呼ぶ新しいランサムウェアが登場した。ただし、その発信源は分かっていない。
このランサムウェアは、メールセキュリティ企業ProofPointの研究者Matthew Mesa氏が先週発見したもので、不正な電子メールによって拡散されている。
Lawrence Abrams氏の分析によると、GIBONという名称が付けられた理由は、このマルウェアが指令を受け取るためにコマンド&コントロール(C&C)サーバに接続するときに、GIBONというユーザーエージェント文字列を使用するためだ。また、管理パネルで自分のことを「Encryption Machine GIBON」(暗号化マシンGIBON)と名乗っている。
このランサムウェアを配布するために作られた電子メールにはマクロが仕込まれており、標的のPCにマルウェアのペイロードをダウンロードして実行する。
するとGIBONが活動を始め、デバイスを暗号化して身代金を要求するという仕組みだ。
GIBONは、暗号化作業を開始するとC&Cサーバに接続し、Base64形式のコード化された文字列、タイムスタンプ、標的のPCに搭載されている「Windows」のバージョン、それに「register」(登録)という文字列を送信して、新しい被害者を登録する。
被害者が登録されると、暗号鍵が生成されてC&Cサーバに送信される。この鍵でPC上のすべてのファイルが暗号化された後、身代金を要求するメッセージがC&Cサーバから表示される。
GIBONは、Windowsフォルダ以外の場所にあるファイルなら、拡張子の種類に関係なくすべてファイルを暗号化する。
すべてのファイルを暗号化して「.encrypt」という拡張子を付けると、GIBONは最後にpingをC&Cサーバに送り、「finish」(終了)という文字列、タイムスタンプ、Windowsのバージョン、暗号化したファイルの数を示すレコードを送信する。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
