さて、実際に暗号化型ランサムウェアに感染するとどうなるのか。今回、ランサムウェア「JIGSAW」感染状態のキャプチャ画面と動画を入手したので、感染の流れを紹介したい。まず、ドキュメントフォルダに、Officeデータ、画像・動画データを配置する。
ここで、JIGSAWを起動する。脅迫画面がでるまでに、数分くらいかかる。これは、ファイル数などにも依存するようだ。いずれにしても、JIGSAWは、拡張子から暗号化を進めていく。そして、暗号化が完成すると、図4のようになる。
拡張子が「.fun」となっている。ここまでは背後で活動し、なんら目立った挙動は示さない。しかし、暗号化が完了すると、JIGSAWの興味深い挙動が現れる。
規定の暗号化が達成されると、脅迫画面が表示される。描かれたキャラクターは、ホラー映画「ソウ」に登場する殺人鬼"ジグソウ"が使う腹話術人形だ(このため、このランサムウェアがJIGSAWと呼ばれる)。
図6は、脅迫画面の途中である。この時点では、写真、動画、書類などのファイルは暗号化されていないという。24時間以内に150ドルを支払えば、復号化のキーを提供するとある。72時間後には、すべてのファイルを暗号化すると脅迫する。そして、最終画面は、図7のようになる。
最後に、タイマーが表示される。とにかく、急いで身代金を払わせるように仕向けている。もし、途中で再起動を行うと、一気に暗号化が行われる。
前回、紹介したような暗号化型ランサムウェアと比較すると、格段に演出効果が高い。たとえば、これを夜中に一人で体験したらどうなるか、想像してみていただきたい。かなり、衝撃的だろう。筆者もこの流れを見た印象は、正直「ここまでやるのか」という感じであった。
JIGSAWの感染を再現したデモンストレーション動画 |
暗号化されたファイルはどうなっている?
では暗号化されたファイルはどうなるのか。JIGSAWではないが、ランサムウェアで実際に暗号化されたファイルを、メモ帳で開いてみた。バイナリファイルを見慣れていない方は、中身がほぼ「わからないものになっている」と見ていただければ十分だ。
ちなみに、通常のExcelのファイルを、無理やりメモ帳で開いたものが、図9になる。
かろうじてだが、意味のある文字列らしきものが確認できる。これが、暗号化されているか、いないかの差だ。この2つを見れば、その違いがわかるだろう。
たとえば、オンライン取引などでは、通信内容を暗号化することがよく行われる。途中の通信内容をのぞき見しても、その内容をわからなくすることが目的だ。
暗号化されたファイルは、その内容をうかがい知ることができなくなっている。このように、ランサムウェアは、完璧にファイルを暗号化しており、普通の方法では、復元することは難しいことを改めて理解してほしい。