独立系マルウェア研究者によると、警察をテーマにしたランサムウェアの作成者は、詐欺行為の信憑性を高めるために、感染したコンピューターの閲覧履歴を利用し始めているという。
ランサムウェアは、重要なシステム機能を無効化したり、個人ファイルを暗号化したりすることでユーザーから金銭を脅し取ることを目的とした悪意のあるアプリケーションの一種です。この種の脅威の特定の亜種は、法執行機関からの通知を装ったメッセージを表示します。
メッセージの言語や使用される機関名は被害者の居住地によって異なりますが、ほとんどの場合、違法コンテンツにアクセスまたはダウンロードしたためコンピュータがロックされたと伝えられます。コンピュータへのアクセスを回復するには、罰金を支払うよう求められます。
この手口を用いる新たなランサムウェアの亜種が、週末にKafeineとして知られる独立系マルウェアアナリストによって発見されました。Kovterと呼ばれるこの亜種は、被害者のブラウザ履歴から収集した情報を利用して詐欺メッセージの信憑性を高めている点が特徴的だと、Kafeineは金曜日のブログ投稿で述べています。
Kovterは、米国司法省、米国国土安全保障省、FBIを名乗る偽の警告を表示し、被害者のコンピュータが違法コンテンツのダウンロードと配布に使用されたと主張しています。メッセージには、コンピュータのIPアドレス、ホスト名、そして違法コンテンツがダウンロードされたとされるウェブサイトも記載されています。
このマルウェアは、コンピュータのブラウザ履歴に既に存在するサイトが、必ずしも違法ではないコンテンツを持つポルノサイトのリモートリストに含まれているかどうかを確認し、一致するものがあればメッセージに表示します。この手法を用い、被害者が実際に訪問したサイトを違法コンテンツのソースとして指定することで、ランサムウェア作成者はメッセージの信憑性を高めようとします。
ブラウザ履歴をリモートリストと照合しても一致するものが見つからない場合、マルウェアはメッセージ内でランダムにポルノサイトを使用するだけだとカフェイン氏は述べた。
新たな戦術が脅威を高める
警察を装ったランサムウェアの作成者たちは、常に成功率の向上に努めており、今回のランサムウェアも、彼らがこれまでに加えてきた一連の手口の最新のものに過ぎません。一部の亜種は、コンピューターにウェブカメラが搭載されている場合、それを使ってユーザーの写真を撮影し、それをメッセージに添付することで、当局がユーザーを録画しているという印象を与えます。また、別の亜種は、被害者に48時間以内に偽の罰金を支払うよう要求し、支払わなかった場合はコンピューターのドライブが再フォーマットされ、データが破壊されます。
ウイルス対策ベンダーKaspersky Labのグローバル調査分析チームのマルウェア専門家、セルゲイ・ゴロバノフ氏によると、警察を装ったランサムウェアによる1日あたりの平均感染試行数は、2013年最初の数か月で倍増したという。同氏は月曜日のメールで、この脅威の拡散は2月と3月に過去最高を記録したと述べた。
ゴロバノフ氏によると、ランサムウェアの被害者にとって最も重要なことは、サイバー犯罪者に金銭を支払わないことだ。「必要なのは、別のコンピューターで解決策を探し始めることです。インターネットで必ず見つかります」と彼は述べた。「すべてのウイルス対策企業は、ユーザーがコンピューターのブロックを解除できるように、無料のマニュアルやユーティリティを公開しています。」
「最悪の場合、特殊なブロッカーに遭遇した場合は、ウイルス対策会社の専門フォーラムに問い合わせたり、テクニカルサポートに連絡して専門家のアドバイスや解決策を求めたりすることができます」と彼は述べた。「もちろん、これには時間がかかるかもしれませんが、重要なのは、金銭を支払ってこの恐喝に資金を提供しないことです。」
