Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OSを起動できなくし、金銭要求する新種ランサムウェア「Petya」

ブルースクリーン発生後、Windowsを起動できなくし、金銭を要求するあらたなランサムウェア「Petya」が確認された。

「Petya」の脅迫画面
「Petya」の脅迫画面(画像:Trend Micro)

「Petya」は、ドイツの企業をメール経由で攻撃しているものと見られ、求人応募者を偽装。履歴書として記載されていたURLに実行ファイルのダウンローダーが保存されており、同マルウェアを通じて感染するしくみだった。

分析を行ったTrend Microによると、「Petya」は起動に用いる「マスターブートレコード(MBR)」を上書き。ブルースクリーンを引き起こし、その後はOSを起動できなくなり、身代金を要求するメッセージが表示される。

さらにクラウドストレージである「Dropbox」経由で脅迫文を送り着けていた。要求額はBitcoinで0.99BTC。期限内に払わない場合、要求額が倍額になる。

同マルウェアの挙動については調査が進められているが、ポーランドのマルウェア研究者によれば、ブルースクリーンが表示された段階では、MBRの改ざんのみで、ファイルなどのデータそのものの暗号化は行われておらず、他ドライブからOSを立ち上げ、アクセスすることでデータを救出できるという。

しかし、再起動後に立ち上がる「chkdsk」に見せかけたプログラムが「マスターファイルテーブル(MFT)」を暗号化していると見られ、脅迫画面が表示された段階ではファイルへのアクセスができなくなる。ただし、すべてのファイルが暗号化されるわけではなく、特別なフォレンジックツールなどによりデータを取り出せる可能性もあるとしている。

(Security NEXT - 2016/03/31 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

38%の企業がセキュリティ投資を増額 - それでも65%は「不足」
アクロニス、バックアップソフトに新版 - ランサム対策を強化
ネットユーザーの6割弱がバックアップ未実施 - 復旧予算は5000円以下が8割
対応コストともなう「サイバー攻撃」「内部犯行」、43.9%が経験
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
定例パッチ公開日、盆休みを直撃 - 夏期休暇に備えてセキュリティ対策を
重要インフラの3社に1社でランサム被害 - 11%は感染20台以上
マルウェア配信担う自己拡大型トロイの木馬に警戒 - 復旧に1億円超えも
「情報セキュリティ白書2018」が発売 - PDF版はアンケート回答で無料
ランサムウェアの感染被害が発生、運行には影響なし - 多摩都市モノレール