ランサムウェア「GandCrab」がv4にアップデート、暗号化がより高速に

　ランサムウェア「GandCrab」がバージョン4にアップデートされた。GandCrabは2018年1月に登場したランサムウェアで、最近では攻撃に使われる頻度が高くなっている。GandCrabはダークウェブで「サービスとしてのマルウェア」として安価に利用することができ、頻繁にアップデートされている。

　Fortinetの研究者によれば、今回リリースされた最新版は「コード構造の全面的な変更」のほか、いくつもの新たな工夫が盛り込まれている。

　GandCrabバージョン4に加えられた最大の変更点の1つは、暗号アルゴリズムが「RSA-2048」から、はるかに高速なストリーム暗号である「Salsa20」に変更されたことで、これによってより高速にファイルの暗号化ができるようになった。Salsa20はランサムウェア「Petya」でも使用されていたアルゴリズムだ。

　今バージョンのGandCrabは、WordPressで構築された乗っ取られたウェブサイト経由で配布されている。それらのウェブサイトでは、ユーザーにシステムツールのダウンロードを促すが、実際にはGandCrabがダウンロードされる。研究者らによれば、GandCrabの実行ファイルやダウンロードリンクは頻繁に更新されているという。ただし、このランサムウェアは過去にフィッシングメール経由で配布されていたこともあり、再び配布方法が変わる可能性もある。

　従来のバージョンと同じく、最新版のGandCrabも、まずシステムがロシア語圏の国のものかどうかを確認し、これに当てはまる場合はファイルの暗号化を行わない。GandCrabがロシアのハッキングフォーラムで販売されていることも併せて考えると、作者はこの地域で活動している可能性が高いとみられる。

　また、過去のバージョンではファイルの暗号化を行う前に制御サーバに接続する必要があったが、暗号化の仕組みが変更され、ユーザーがインターネットに接続していない状態でもファイルを暗号化できるようになった。

　セキュリティ研究者Kevin Beaumont氏は、今バージョンではファイルの暗号化にインターネット接続が不要になったのに加え、「WannaCry」で有名になったSMBの脆弱性を悪用して感染を広げられるようになっており、「Windows XP」や「Windows Server 2003」で動作しているマシンを乗っ取る能力も備えていると指摘している。

　「インターネット接続なしで感染を広げることができ、古いXPや2003のシステムに影響を与える能力を持っているため、セキュリティ対策が不十分な一部の古い環境がリスクに晒される可能性がある」と同氏は付け加えている。

　このランサムウェアを回避するもっとも単純な方法は、そもそも悪質なペイロードをダウンロードしないことだ。特に、信頼できないサイトからファイルをダウンロードすべきではない。

　Fortinetの上級脅威リサーチャーJoie Salvio氏は、ブログ記事の中で、「インターネットからファイルをダウンロードするときには常に細心の注意を払うべきであり、特にアプリケーションの違法コピーのダウンロードはするべきではない。それらのソフトウェアは著作権法に違反するだけでなく、特に訓練されていないユーザーには大きなリスクになる」と述べている。