ランサムウェアが個人のPCシステムを標的にし始めた頃、サイバー犯罪者らは米連邦捜査局(FBI)や司法当局の名をかたって被害者を脅し、身代金の支払いを促すことがたびたびあった。
しかし今回登場したマルウェアは、一国の元首であった人物を前面に押し出しているという点で特異なものとなっている。
MalwareHunterTeamがツイートで伝えているように、「Barack Obama's Everlasting Blue Blackmail Virus」(Barack Obama氏の永遠に続く憂うつな(青い)身代金要求ウイルス)というランサムウェアはおそらく、2018年に入って登場したランサムウェアとしては特異な部類に入るものと言える。
「Windows」ベースのこのマルウェアは、スパムキャンペーンやフィッシングキャンペーンを通じて拡散しており、最初に感染システムを走査し、ウイルス対策ソフトウェアに関連するプロセスの存在をチェックする。
Bleeping Computerが報じているように、このObamaランサムウェアは次に、拡張子が.EXEのファイルを見つけ出し、それらを暗号化する。また、実行可能ファイルに関連付けられているレジストリキーも改ざんするため、.EXEファイルが起動されるたびに同ウイルスも起動するようになる。
通常の場合、ランサムウェアはドキュメントファイルやメディアファイルといったコンテンツを暗号化した後、ファイルを復元するための「手数料」を被害者から脅し取ろうとする。
この種のマルウェアはたいていの場合、システムファイルやシステムプロセスに手を加え、感染したPCに取り返しの付かない損傷を与えてしまうことはあまりない。というのも、PCをクラッシュさせ、まったく使えなくしてしまうと、被害者に身代金を支払わせるだけの動機付けもなくなってしまうためだ。
しかし、Obamaランサムウェアの場合、Windowsフォルダ内の.EXEファイルも暗号化するため、こういった損傷が発生し得る。これは、ランサムウェアの開発者が無能であったか、設計上の何らかの見過ごしがあったのだと考えられる。
このマルウェアは、いったんファイルシステムを走査し、ファイルを暗号化すると、Obama前米大統領の画像とともに以下のメッセージを表示する。
ハロー。あなたのコンピュータは私が暗号化した!そう、つまりEXEファイルは開けないということだ!というのも私が暗号化したためだ。
復号することは可能だが、それにはチップが必要だ。ここが重要な点だ。詳細な情報は、2200287831@qq.com宛てに電子メールを送信すれば取得できる。
Fossbytesの報道によるとこのランサムウェアは、感染したWindowsマシン上にある、ボリュームシャドウコピーサービス(VSS)が使用しているファイルをすべて消去するため、ファイルの復元はさらに難しいものとなっているという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。