数週間前から地下フォーラムでこの脅威の進展を追跡しているセキュリティ研究者のボランティアグループによると、マルウェア開発者のチームが、感染したコンピューター上のファイルを暗号化し、被害者に復元と引き換えに金銭を要求する新たなランサムウェアプログラムの販売を準備しているという。
この新しいマルウェアは「PowerLocker」と呼ばれ、その開発は、9月以来25万台以上のコンピュータに感染した「CryptoLocker」ランサムウェア型トロイの木馬プログラムの成功に触発されたものと思われます。
CryptoLocker と同様に、PowerLocker は、金銭を支払わずにファイルを復元するために解読できない強力な暗号化を使用していると言われていますが、開発者が他のサイバー犯罪者に販売するつもりであると報じられていることから、PowerLocker はより洗練されており、潜在的にさらに危険です。
CryptoLockerと同様に、PowerLockerも強力な暗号化技術を使用しており、金銭を支払ったりバックアップを取ったりしない限り、ファイルの復元は不可能とされています。しかし、PowerLockerはより高度で、開発者が他のサイバー犯罪者に販売する意図を持っていると報じられているため、より危険なマルウェアです。
サイバー犯罪対策に尽力するセキュリティ研究者グループ「Malware Must Die(MMD)」は、11月末にアンダーグラウンドフォーラムで、マルウェア作成者が新たなランサムウェアプロジェクトを発表する投稿を発見しました。当初はPrison Lockerという名前で知られていたこのプロジェクトは、後にPowerLockerへと名称が変更されました。
MMDの研究者たちは、この脅威の進展を追跡し、もしこの新しいランサムウェアプログラムが完成して公開されれば甚大な被害をもたらす可能性があるという懸念から、金曜日に収集した情報を公開することを決定しました。同グループは、複数の地下フォーラムメッセージのスクリーンショットを添付したブログ記事を公開し、完成段階の異なるマルウェアの特徴や予定価格について説明しました。
マルウェアの主な開発者(オンラインID「gyx」を持つユーザー)の進捗報告によると、PowerLockerはWindowsの一時フォルダにドロップされる単一のファイルで構成されています。コンピューターで初めて実行されると、実行ファイルとシステムファイルを除く、ローカルドライブとネットワーク共有に保存されているすべてのユーザーファイルの暗号化を開始します。
すべてのファイルは、固有の鍵を持つBlowfishアルゴリズムを用いて暗号化されます。これらの鍵は、各コンピュータに固有の公開鍵と秘密鍵のペアの一部である2048ビットのRSA鍵で暗号化されます。コンピュータの所有者は公開鍵を保有しますが、Blowfish鍵を復号するために必要な対応するRSA秘密鍵は保有していません。
これはCryptoLockerの暗号化スキームの実装方法に似ていますが、PowerLockerはさらに進んでいます。暗号化段階が完了すると、WindowsキーとEscキーが無効になり、taskmgr.exe、regedit.exe、cmd.exe、explorer.exe、msconfig.exeといった他の便利なユーティリティも使用できなくなります。
次に、Windowsの機能を利用してセカンダリデスクトップを作成し、そこに身代金要求メッセージを表示します。マルウェアは数ミリ秒ごとに新しいデスクトップがアクティブかどうかを確認し、ユーザーがそこから切り替えられないようにします。これにより、Alt+Tabキーボードショートカットやプライマリデスクトップで実行されているアプリケーションは無効になります。
このマルウェアは、仮想マシン、サンドボックス、デバッグ環境で実行されているかどうかを検出する機能も備えており、セキュリティ研究者が通常のツールを使用して分析するのを防ぐために設計されている。
広告されているマルウェアプログラムが本物であれば、既に対策が困難な脅威群に、さらに高度な技術が加わることは間違いない、とアンチウイルス企業Bitdefenderのシニア電子脅威アナリスト、ボグダン・ボテザトゥ氏は月曜日のメールで述べた。「マルウェアの説明から判断すると、作成者はCryptoLockerとFBIランサムウェア(FBIなどの法執行機関を装うランサムウェア)を融合させ、デスクトップロックとファイル暗号化という2層構造のロックを作成したようだ。」
CryptoLocker と PowerLocker のもう 1 つの重要な違いは、新しい脅威が他のサイバー犯罪者に犯罪パックとして販売されることになっている点です。
「CryptoLockerは特定の個人向けに特別に作られたものですが、PowerLockerと呼ばれるこのツールは購入可能なため、スクリプトキディは誰でも攻撃者になる可能性があるのです」と彼は述べた。「もしこれが現実のものなら、甚大な被害をもたらすと予想されます。」
MMDが共有したアンダーグラウンドフォーラムのメッセージによると、PowerLockerの作者は別の開発者と提携し、マルウェアのコマンド&コントロールパネルとグラフィカルユーザーインターフェースを開発しており、完成間近とのことです。開発者は、このマルウェアを初期ビルド1つにつき100ドル、リビルド1つにつき25ドルでビットコインで販売する予定で、これはサイバー犯罪者にとって非常に手頃な価格です。
「これは犯罪パックであるという事実に加えて、ボックスの外にいるユーザーをロックし、マシンを完全に生産停止にするなどの追加機能も備えています」とボテザトゥ氏は述べた。もしこれが拡散すれば、病院のコンピューターのようなミッションクリティカルなシステムに深刻な問題を引き起こす可能性があると彼は述べた。
Botezatu 氏は、今年中に同様のマルウェア プログラムが開発され、使用されると予想しています。
「GPcodeのようなトロイの木馬は商用ランサムウェアの標準を確立しました。一方、FBIトロイの木馬やCryptoLockerのROI(投資収益率)は、他のサイバー犯罪グループがランサムウェアに参入する動機となったと考えられます」と彼は述べた。「ランサムウェアは簡単に金が儲かる手段であり、サイバー犯罪者が狙っているのはまさにそれです。」
今日のマルウェアのほとんどは、Java、Flash Player などの一般的なソフトウェア プログラムの脆弱性を悪用して配布されるため、ランサムウェアやその他の脅威による感染を防ぐために、すべてのアプリケーションを最新の状態に保つことが非常に重要です。
サイバー犯罪者に金銭を支払わないようにするためには、感染した際にファイルを復元するために重要なデータを定期的にバックアップすることが不可欠です。ただし、マルウェアによってバックアップも破損する可能性があるため、バックアップは、同じコンピューターや、コンピューターが書き込み権限を持つネットワーク共有に保存しないでください。
