代表的なランサムウェア
日本国内においてランサムウェアが流行し始めたのは比較的最近のことです。
ここでは、その代表的なものを紹介します。
Tesla Crypt(テスラクリブト)
初期のTesla Cryptは、特定のゲームのプレーヤーのデータを狙ったランサムウェアでした。
このランサムウェアに感染した際、マルウェアが40種類程度のゲームに関連するファイル拡張子(World of Warcraft、Minecraftなど)を検索して、探し出したそれらのファイルを暗号化するというものでした。
しかし、その後に派生した亜種による被害では、画像ファイルやワード、エクセル、PDFなどの一般的なドキュメントファイルや7z、rarといった圧縮ファイルなども対象としているといった報告があります。
Tor Locker
著名なランサムウェアの1つで、日本人の購入者も出たもの。
別名Scraperとしても知られています。
日本語にローカライズされたものは、Torネットワークを介して攻撃者にコンタクトする仕組みとなっています。
特徴的なのは、ファイルの暗号化が開始された後に攻撃者のサーバと通信するために、tor.exeとpoipo.exe(プロキシサーバ)をダウンロードすることです。
諸外国に比べて日本での検出数は多くありましたが、オリジナルは海外のディープウェブ上で売買されていたものでした。
このことから、誰もが簡単にランサムウェアの生成ツールを購入して悪用できる状況になりつつあるという事がいえるでしょう。
Locky
2016年に報告されたもので、日本でも猛威を振るったランサムウェアの1つです。
悪性マクロを含むドキュメントファイルが添付されたメールによって攻撃が行われるものです。
マクロはダウンローダーの働きをし、ランサムウェア本体をダウンロードします。
暗号化されたファイル名は、「.locky」拡張子を持つ16文字と数字の組み合わせに変換されます。
暗号化した後、ユーザーのデスクトップに表示されるメッセージは、通信経路を匿名化して隠すことのできるウェブブラウザを利用して行われます。
アイコンの隠蔽やプログラムの実行制御を行うランサムウェア
ランサムウェアには今に至るまでの歴史があります。
ランサムウェアは、今でこそ感染ユーザーのPC上のファイルを暗号化することで脅迫を行いますが、以前の手口は違いました。
単純なこけ脅し的なものも存在していました。
2012年頃のものでは、レジストリの設定を変更することで、デスクトップやスタートメニューを不可視とし、コントロールパネルなどの実行を制限するというものでした。
単純に、ファイルの隠蔽とプログラムの実行制御をしたものです。
関連記事
ランサムウェアとは? ①身代金の要求を目的とした不正プログラムについて知ろう。