クリプトマルウェアへの対策デモ
次いで、製品管理本部プロダクトマネージャーの保科貴大氏が、デモを行った。
|
図9 保科貴大氏 |
身代金を要求するランサムウェアには、大きく分けて2種類ある。
- デスクトップロッカー:画面などをロックし、PCを使用不能にする
- クリプトマルウェア:ファイルを暗号化し、使用不能にする
従来は、デスクトップロッカータイプが多かった。最近は、クリプトマルウェアが増えつつある。そして、クリプトマルウェアはこれまで以上にタチが悪い。デスクトップロッカーならば、駆除を行うことで、PCを元の状態に戻すことができた。しかし、クリプトマルウェアは、マルウェアを削除しても、暗号化されたファイルはそのままで使用不能な状態はそのまま残ってしまうからである。
デモは、このクリプトマルウェアの対策であった。暗号化されたファイルを元に戻すことは、暗号レベルも上がりほぼ不可能なレベルとなった。そこで、カスペルスキーでは、システムウォッチャーを使い、ファイルの変更を監視する。もし、ユーザーファイルの暗号化(つまり変更)が行われると、バックアップを行う。その機能は、システムウォッチャーで確認できる。
|
図10 システムウォッチャー |
[悪意あるソフトウェアによる変更のロールバック]が自動実行になっている。実際に、クリプトマルウェアによる暗号化は、図11のようになる。
|
図11 クリプトマルウェアの実行 |
ファイルタイプが「DONE」となり、開くことができなくなる。さらに、同じフォルダにはhow to repear.txtというテキストファイルが作成される。その中には、ファイルを元に戻したければ、送金せよといった内容が書かれている。
|
図12 how to repear.txt |
しかし、多くの場合、送金しても意味はない。それどころか返信メールに新たなマルウェアが仕込まれている可能性すらある。システムウォッチャーが動作していると、このような変更があった場合、バックアップを作成する。そして、そのアプリケーションが、マルウェアと判定された場合、自動的にロールバックする。ユーザーには、次のように保護プロセスの進捗が表示される。
|
図13 不審な変更を行うアプリケーションの検知 |
このタイミングで、バックアップが作成される。さらにアプリケーションの分析が行われる。
|
図14 アプリケーションがマルウェアと判定 |
まずは、クリプトマルウェアが削除される。
|
図15 暗号化されたファイルをロールバック |
最終的に、このようにロールバックを行い、元の状態に戻すのである。当然であるが、カスペルスキーをインストール前に暗号化された場合には、元に戻すことはできない。また、多くの場合、クリプトマルウェアをダウンロードした時点で、マルウェアとして駆除される可能性が高いだろう。もし、ゼロディ脆弱性などを悪用し、未知のクリプトマルウェアがカスペルスキーの防御を潜り抜けたとしても、暗号化されたファイルを元に戻すことが可能となる。
