トレンドマイクロは9月18日、ランサムウェアの最新状況と手口をセキュリティブログで公開した。

「Cryptographic Locker Ransomware」は、感染したPC上に壁紙を表示する

ランサムウェアとは、感染したPCやモバイル端末に勝手なアクセス制限するマルウェアの一種。ユーザーがアクセス制限を解除しようとすると、攻撃者から金銭などを要求される。

ブログでは、ランサムウェアの亜種が増えていることを言及。同社は、9月にランサムウェア「CryptoLocker」の亜種「Cryptographic Locker Ransomware」を発見した。このランサムウェアが「Microsoft Intermediate Language(MSIL)」にコンパイルされた圧縮ファイルであり、従来の「CryptoLocker」と違い、実行するために「.NET framework」が必要となる。

「DOCX」「PSD」「RTF」「PPT」「PPTX」「XLS」「XLSX」などの拡張子を持つ幅広い範囲のファイルを暗号化しており、暗号化したファイルの名前を「<元のファイル名と拡張子>._clf.」に変更する。共通鍵暗号化方式のアルゴリズム「Rijndael(ラインダール)」を利用する。

解析によると、このランサムウェアに感染したPC上のファイルをユーザーがファイルを暗号化すると、暗号化したことをユーザに伝えるメッセージが表示される。その後、暗号化したファイルの「秘密鍵」を取得するために、「Bitcoin(ビットコイン)」を支払うように要求される。ビットコインの金額は、C&Cサーバーがビットコインの支払先と共に送信するパケットによって決定する。同社の解析では、0.2 ビットコインを要求されたという。

ユーザにビットコインを支払うよう要求してくる

また、感染したPC上に「鍵」と暗号を解読するのに必要な「初期化ベクトル」をランダムに生成され、これらを攻撃者側のC&Cサーバーに送信する。さらに、コンピューター内のシステム情報を自動収集し、外部に向けて送受信し、ユーザーの情報を盗みとられる。

そのほか、同社は「Cryptobit」「CrytoDefense」「CryptoWall」、「POSHCODER」「Cryptoblocker」「Cryptroni/Critoni」といったファイルを暗号化するバッチファイルのランサムウェアを確認している。

トレンドマイクロは、ランサムウェアによって金銭の要求を求められた場合でも、支払わないように呼びかけている。