OSを起動できなくし、金銭要求する新種ランサムウェア「Petya」

ブルースクリーン発生後、Windowsを起動できなくし、金銭を要求するあらたなランサムウェア「Petya」が確認された。

「Petya」の脅迫画面（画像：Trend Micro）

「Petya」は、ドイツの企業をメール経由で攻撃しているものと見られ、求人応募者を偽装。履歴書として記載されていたURLに実行ファイルのダウンローダーが保存されており、同マルウェアを通じて感染するしくみだった。

分析を行ったTrend Microによると、「Petya」は起動に用いる「マスターブートレコード（MBR）」を上書き。ブルースクリーンを引き起こし、その後はOSを起動できなくなり、身代金を要求するメッセージが表示される。

さらにクラウドストレージである「Dropbox」経由で脅迫文を送り着けていた。要求額はBitcoinで0.99BTC。期限内に払わない場合、要求額が倍額になる。

同マルウェアの挙動については調査が進められているが、ポーランドのマルウェア研究者によれば、ブルースクリーンが表示された段階では、MBRの改ざんのみで、ファイルなどのデータそのものの暗号化は行われておらず、他ドライブからOSを立ち上げ、アクセスすることでデータを救出できるという。

しかし、再起動後に立ち上がる「chkdsk」に見せかけたプログラムが「マスターファイルテーブル（MFT）」を暗号化していると見られ、脅迫画面が表示された段階ではファイルへのアクセスができなくなる。ただし、すべてのファイルが暗号化されるわけではなく、特別なフォレンジックツールなどによりデータを取り出せる可能性もあるとしている。

（Security NEXT - 2016/03/31 ） ツイート

PR

関連記事

スポーツクラブNASのサーバ2台がランサム被害 - 「暗号鍵」特定されて侵入
不正アクセスでサーバがランサム被害 - イトーヨーギョー
ランサム感染判明前日に外部RDP接続 - 岡野バルブ製造が調査報告
続くVPN機器への攻撃 - 「修正済み」のつもりが無防備だったケースも
サーバやPCがランサム被害、多くの稼働機器に痕跡 - 油脂など扱う商社
欧州子会社5社のランサム被害、2社では情報流出なし - 東芝テック
一部データが暗号化、個人情報流出の痕跡は見つからず - 日産証券
KADOKAWAの海外子会社に不正アクセス - ランサムウェアか
富士フイルム、「ランサムウェア」感染と断定 - 身代金要求には応じず
FBI、「FortiOS」脆弱性について再度注意喚起 - 5月以降も被害が