データを復元できないのに身代金を要求する新種のランサムウェア 36
ストーリー by headless
手軽 部門より
手軽 部門より
データの復元手段を持っていないのに身代金を要求する新種のランサムウェア「Ranscam」の詳細について、Talosが報告している(Cisco Talos Blogの記事、
Ars Technicaの記事、
The Registerの記事)。
RanscamはWindows上で動作し、ユーザーのファイルを暗号化するのではなく削除してしまう。削除されるのは「ドキュメント」「ダウンロード」「ピクチャ」「ミュージック」といったフォルダー内のファイルとサブフォルダーのほか、「システムの復元」で使用する実行ファイルやシャドウコピーなども削除し、ユーザーによる復元を困難にする。また、セーフモードでの起動に関連するレジストリキーの削除やタスクマネージャーを起動できないようにする設定なども行われるという。
ファイルは既に削除されているにもかかわらず、Ranscamは「隠しパーティションに移動して暗号化された」などと表示し、復元のためにビットコイン(0.2 BTC)の支払いを要求する。しかし、ビットコインを支払って確認用のボタンをクリックしても実際の確認処理は行われず、「支払いは確認されなかった」といったメッセージが表示されるとのこと。そもそもRanscamの作者はファイルの復元手段を持っていないのだが、Talosがビットコインの支払いができなかったと連絡すると、支払い手順を電子メールで丁寧に説明してくれたそうだ。
なお、Talosが入手したすべてのサンプルで同じビットコインワレットのアドレスが使われており、トランザクションを確認したところ、実行ファイルの署名の発行日以降に被害者が支払いを行った形跡はなかったという。また、現段階ではRanscamが広く拡散している様子はないとのこと。
TalosではRanscamのようなランサムウェアの出現により、身代金を支払えばランサムウェアの作者が正直にファイルを復元してくれる段階は過ぎたとしている。Ranscamのようなランサムウェアでは暗号化処理のように高度な技術を必要としないため、手軽に収入を得ようとする亜種が今後増加する可能性もある。そのため、完全に復元可能なオフラインバックアップを用意し、ランサムウェア作者が収入を得られないようにする必要があると述べている。
RanscamはWindows上で動作し、ユーザーのファイルを暗号化するのではなく削除してしまう。削除されるのは「ドキュメント」「ダウンロード」「ピクチャ」「ミュージック」といったフォルダー内のファイルとサブフォルダーのほか、「システムの復元」で使用する実行ファイルやシャドウコピーなども削除し、ユーザーによる復元を困難にする。また、セーフモードでの起動に関連するレジストリキーの削除やタスクマネージャーを起動できないようにする設定なども行われるという。
ファイルは既に削除されているにもかかわらず、Ranscamは「隠しパーティションに移動して暗号化された」などと表示し、復元のためにビットコイン(0.2 BTC)の支払いを要求する。しかし、ビットコインを支払って確認用のボタンをクリックしても実際の確認処理は行われず、「支払いは確認されなかった」といったメッセージが表示されるとのこと。そもそもRanscamの作者はファイルの復元手段を持っていないのだが、Talosがビットコインの支払いができなかったと連絡すると、支払い手順を電子メールで丁寧に説明してくれたそうだ。
なお、Talosが入手したすべてのサンプルで同じビットコインワレットのアドレスが使われており、トランザクションを確認したところ、実行ファイルの署名の発行日以降に被害者が支払いを行った形跡はなかったという。また、現段階ではRanscamが広く拡散している様子はないとのこと。
TalosではRanscamのようなランサムウェアの出現により、身代金を支払えばランサムウェアの作者が正直にファイルを復元してくれる段階は過ぎたとしている。Ranscamのようなランサムウェアでは暗号化処理のように高度な技術を必要としないため、手軽に収入を得ようとする亜種が今後増加する可能性もある。そのため、完全に復元可能なオフラインバックアップを用意し、ランサムウェア作者が収入を得られないようにする必要があると述べている。
同業者に嫌われそう (スコア:5, おもしろおかしい)
身代金を払えばデータが復元できるという売りでランサムウェアは(犯罪者にとって)儲かっていたわけで
せっかく、1 ファイルだけ無料お試しデータ復元とかやってまで被害者の支払い意識向上に努めてきたのに、こんなのが流行ったらランサムウェアも儲からなくなる
Re:同業者に嫌われそう (スコア:5, おもしろおかしい)
【偽物に注意】 これは本物のランサムウェアです。【偽物に注意】
お前のファイルを暗号化した。
元に戻して欲しければ、ビットコインで身代金を支払え。
※最近、身代金を支払ってもファイルが復元されない悪質なランサムウェアが流行しています。
※私たちランサムウェア普及協会は、不正なランサムウェアを撲滅すべく偽ランサムウェア駆除ソフトを無償で配布しております。
※ご希望の方はお気軽にお申し出ください。
Re:同業者に嫌われそう (スコア:1)
おもしろかしい(+1)
# ないのよ今
Re: (スコア:0)
駆除したところで削除されたデータが戻ってくるわけじゃないよなあ
なるほど (スコア:1)
せっかく、1 ファイルだけ無料お試しデータ復元とかやってまで被害者の支払い意識向上に努めてきたのに、こんなのが流行ったらランサムウェアも儲からなくなる
いや、「お金払ったら(本当に)元に戻せる」とか、どうせお金ふんだくるドロボーのくせに律儀過ぎないか?って思ってたけど。
言われてみれば、悪評(?)はあっという間に広まるんだね。色々大変だ。
実は信用で成り立っているランサムウェア (スコア:0)
この記事は会員限定です。電子版に登録すると続きをお読みいただけます。
[今すぐ登録] [ログイン]
という記事が書けそうですね。
Re: (スコア:0)
信用&信頼(笑)必要なのを嫌ったピュアな犯罪者(笑)の陰謀なんですよ。
Re:実は信用で成り立っているランサムウェア (スコア:1)
実は地下組織の資金源を断つための、政府の陰謀w
#偽ランサムウェアの事件を追っていた主人公(刑事)は、被害者のある共通点に着目する。
#しかし、その結果、相棒は殺され、捜査中止の命令までも下る。
#納得のいかない主人公は、偶然出会ったGeekの協力の下、独自に捜査を続ける。
#ノンストップのアクションシーンの末、辿り着いたのは……。
##ありがちだなー
Re: (スコア:0)
いますぐ
[ → ]
Re: (スコア:0)
金を払えばファイルを復活させることが出来ると安堵させて金を払わせていたけど、
やっぱり普通のウィルスは昔のようにファイルを消したりHDDをフォーマットしてしまうのでした
というだけだよな。
Re: (スコア:0)
要件定義に掛かった費用だけでも払ってくれという同業者のことかしら?
Re: (スコア:0)
要件定義→見積までで第一段階、そこでキャンセルしてもそこまでの分の代金は払うってのは普通の話じゃない?
Re: (スコア:0)
暗号化するほどの技術は無いけれど、手軽にランサムウェアで金儲けをしようというやつがやっているのか、それとも「ランサムウェアにやられても身代金を払えばいい」という風潮に変わってきたことに対して強い疑問を抱いている人物が、「払っても返ってこないから払うな」という実例を広めたいからやっているのか、どっちだろうか。
効かぬ (スコア:3)
Desktop直置き派には無力、敗北を知りたい。
ドラマの教訓 (スコア:0)
やっぱ身代金を払う前に、人質の安否が先だな。
Re: (スコア:0)
これは電子振り込め詐欺だな
Re: (スコア:0)
後藤隊長「ここは『警察には知らせるな』って一言いうべきじゃない?」
内海さん「ハーハッハッハッ」
黒崎くん「?」
みたいなやりとりが好きだったなあ。
ま、身代金を払っても人質が帰ってこないのは珍しくもなんともないし、
「ランサムウエア」の名に恥じないリアルな作りを追求した結果かもしれない。
Re: (スコア:0)
リアルだと、たとえば人質に交渉を開始した日の新聞を持たせた写真を送りつけて、少なくとも現段階での生存を保証する、みたいな誘拐犯も居るというが
足がつかないよう殺してしまうザックリとしたのも居るわけで、どちらかといえばランサムウェアって後者なんだろうなぁ
そもそも殺人と違ってファイルぶっ壊すだけだと法的なペナルティは(殺人に比べれば)遙かに軽いから、いわゆる経済目当ての犯罪者が考える「捕まるリスクと得られるメリット」の前者をかなり軽くしちゃってる効果がある
# つまり復元できないランサムウェアは殺人と同等に扱う、と法律できめてしまえばある程度は減らせるかもしれない(をい
Re: (スコア:0)
復元するしないを問わず盗人に追い銭という話もあるけど、そもそも、こういう犯罪をやらかすような連中にファイルを復元してくれることを期待する方が甘いってことでしょう。
やはり、最大の対策はバックアップしかないんだけど、個人にとって現実的なバックアップ手段はHDDしかないのが難点ですね。(特に重要なデーターはライトワンス系メディアに定期的にバックアップしてるけど全部は無理だし)
#個人でも買える値段のLTOは無理だろうなぁ
対策 (スコア:1)
メーラーとブラウザは仮想マシン内でのみ使うという訳には行かないのかな?
新しくダウンロードしたファイルは仮想マシン内で開くということで。
しばらく様子を見てからホストに移す。
あまり状況が悪化するようだとそうするかも。
Re: (スコア:0)
> 個人にとって現実的なバックアップ手段
自分はDropbox使ってるよ。もちろん内容によるけど(動画とか大量に保存するのは流石に辛い)ドキュメントと音楽ファイル、写真ぐらいなら年1万円ぐらいの有料プランで事足りる。HDD1台買うよりは信頼性高いと思うしね。
Re: (スコア:0)
ランサムウェア対策の話なんだが…。
Dropboxは私も使ってるけども。
Re: (スコア:0)
Dropboxは1ヶ月間バックアップに復元できるから、少なくともアレで同期してるファイルは暗号化されても(ランサムウェアを除去後、または別のPCで)復元できるよ
ランサムウェアに感染して1ヶ月以上放置したケースは流石に知らん
Re: (スコア:0)
(外付け?)HDDは分割とか何も考えずに(内蔵)HDDの内容をまるまるコピーとかには便利でしょうが、
バイト単価で考えると最近はBD-Rのほうが安くなってませんか?
一枚につき25Gあればフォルダ単位くらいの分割でどうにかなりそうだし。
Re: (スコア:0)
BD-Rで全部バックアップしようとすると何十枚も必要になって大変です。
フォルダ内の一部だけ更新してしまったときとかのバックアップも往生します。
ドキュメントに共有フォルダ含めてるが (スコア:0)
共有フォルダのシャドウコピー消せるの?
あ、複数フォルダ設定してるんです。
DOS時代にもあったなあ。 (スコア:0)
暗号化したなんて言いながら実は先頭256バイトを0埋めしてデータを破壊しただけで、身代金をとろうとするワームとかウィルスがあったなあ。
Re: (スコア:0)
送金先の住所が表示されるんだけど、架空の住所だったりしてな。
Re: (スコア:0)
DOS/V時代に日本語で「東京都千代田区千代田1-1-1」にあるソフトウェア会社に送金しろなんてメッセージを表示してデータを破壊するウィルスの被害にあったことがある。皇居にある宮内庁しかない場所に送金させて何をしたかったんだかなあ。さすがに住所が架空なことはわかったから、泣く泣くデータ全破棄して再インストール/再入力したよ。
悪貨が良貨を駆逐する の新しいサンプルやね (スコア:0)
ゲーム理論的に言えば,ある程度真面目(この場合は金払うと復号してくれるということね)な戦略のプレイヤーが多くなってある程度の規模を形成すると,ズルをする戦略(有名なのはスニーク戦略ね)を使うプレイヤーが発生しはじめるっていう,典型的なパターンだね.
後者は寄生的な存在なので,上手くバランスが取れないと全体がポシャる.が,その危機をうまく乗り越えれば? 長期的には一定の比率で両者が共生することになる.
そういう意味で大変興味深い.ちょっと面白くなってきたなあ.
Re: (スコア:0)
> そういう意味で大変興味深い.ちょっと面白くなってきたなあ.
そして貴方は、うっかり不注意で、
大事なファイルが 今回のように復元できないランサムウェアの被害にあう。
顔を真っ赤にして f*ck! と叫んじゃうパターン
Re: (スコア:0)
確かにそのシチュエーションだと fsck は大事ですよね。
Re:まぁそんな面倒しなくても (スコア:2, すばらしい洞察)
Apple信者が偽装だろうとなんだろうとexeなんか実行できるわけないだろう
Windowsとか使ってる奴はエセApple信者だろうがよ
Re: (スコア:0)
全くもってその通りで、引っかかるのはAppleに憧れてる層だろうな。ほらMacってオシャレだしさ。
Re: (スコア:0)
> Windowsとか使ってる奴はエセApple信者だろうがよ
アジア圏Mac大好きクン(自分が知ってるのは中国人、韓国人、台湾人で二ケタ半ば)たちのMacの中の
どこからともなく持ってきてる怪しいWin入ってる率の高いこと高いこと