is702

“改良”を続けるランサムウェア「Crypto Locker」とバックドア「SHOTODOR」-トレンドマイクロ

2013/10/16

トレンドマイクロは10月15日、同社公式ブログにて「改良され続ける脅威:ランサムウェア『Crypto Locker』およびバックドア型不正プログラム『SHOTODOR』を確認」と題する文章を公開しました。2013年10月上旬に、既知の脅威を“改良”したと考えられる2つの事例が確認されたとのことです。

「Crypto Locker」として知られるランサムウェアの最新版の亜種は、PCを動作不能にすることに加え、ファイルを暗号化するものでしたが、最近確認された「Crypto Locker」(「TROJ_CRILOCK.AE」として検出)は、ユーザへの警告文が記された壁紙をデスクトップに表示するようになっていました。警告文は、「ユーザがたとえPCからこの不正プログラムを削除しても、暗号化されたファイルにはアクセスできない状態である」と英文で表示され、ファイルを復号化するには、300米ドル(約2万9500円)または300ユーロ(約4万円)で秘密鍵を購入する必要があり、購入しないとファイルは削除されるという脅迫内容です。

もう一つの不正プログラム「BKDR_SHOTODOR.A」は、解析を困難にさせるため、判読不能なコードやランダムなファイル名を利用してこれまで以上に巧妙な難読化を用いていました。トレンドラボの解析から、この脅威は、複数のファイルを感染PCに作成する「ドロッパー」が発端となることが判明しています。作成された複数のファイルを詳しく解析すると、ファイルの多くには無害なデータが含まれていました。実は、これらの無害なデータは、不正コードを隠ぺいするためのものでした。また、不正コードは難読化されたプログラミング言語「AutoIt」で記述されていたとのことです。

トレンドマイクロでは、「これらの脅威は、犯罪者たちが、完全に新種の脅威を作り出す代わりに、いまだ効果的な既存の脅威を改良することを選んでいることを浮き彫りにしています」と考察しています。

  • FCTV
  • mitene
FCTV
mitene