Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

OSを起動できなくし、金銭要求する新種ランサムウェア「Petya」

ブルースクリーン発生後、Windowsを起動できなくし、金銭を要求するあらたなランサムウェア「Petya」が確認された。

「Petya」の脅迫画面
「Petya」の脅迫画面(画像:Trend Micro)

「Petya」は、ドイツの企業をメール経由で攻撃しているものと見られ、求人応募者を偽装。履歴書として記載されていたURLに実行ファイルのダウンローダーが保存されており、同マルウェアを通じて感染するしくみだった。

分析を行ったTrend Microによると、「Petya」は起動に用いる「マスターブートレコード(MBR)」を上書き。ブルースクリーンを引き起こし、その後はOSを起動できなくなり、身代金を要求するメッセージが表示される。

さらにクラウドストレージである「Dropbox」経由で脅迫文を送り着けていた。要求額はBitcoinで0.99BTC。期限内に払わない場合、要求額が倍額になる。

同マルウェアの挙動については調査が進められているが、ポーランドのマルウェア研究者によれば、ブルースクリーンが表示された段階では、MBRの改ざんのみで、ファイルなどのデータそのものの暗号化は行われておらず、他ドライブからOSを立ち上げ、アクセスすることでデータを救出できるという。

しかし、再起動後に立ち上がる「chkdsk」に見せかけたプログラムが「マスターファイルテーブル(MFT)」を暗号化していると見られ、脅迫画面が表示された段階ではファイルへのアクセスができなくなる。ただし、すべてのファイルが暗号化されるわけではなく、特別なフォレンジックツールなどによりデータを取り出せる可能性もあるとしている。

(Security NEXT - 2016/03/31 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

約3割が過去3年間にサイバー攻撃の被害経験 - ランサムは3.8%
ランサムウェア被害でシステム障害が発生 - 岡山県精神科医療センター
実践的サイバー防御演習「CYDER」の開催日程が発表 - 受付も開始
先週注目された記事(2024年5月12日〜2024年5月18日)
ランサムウェア「Black Basta」に注意 - 500超の組織で被害、医療機関も
X線読影システムのランサム被害、VPN経由で侵入 - 埼玉県健康づくり事業団
米政府、脆弱性「Citrix Bleed」についてガイダンスを公開
「Citrix Bleed」に対する攻撃増加 - 著名ランサムグループも悪用
ランサム被害のイズミ、侵入経路はVPN - システムは概ね復旧
サーバがランサム感染、個人情報流出の可能性 - 豊島