is702
ニュース

新しい暗号化型ランサムウェア「R980」が登場

2016/08/18

トレンドマイクロは8月12日、公式ブログで「新暗号化型ランサムウェア『R980』を確認、使い捨てメールアドレスで自身への追跡を回避」と題する記事を公開しました。

それによるとトレンドマイクロは、暗号化型ランサムウェア「R980」(RANSOM_CRYPBEE.A)を新たに確認したとのことです。

「R980」は、スパムメールまたは改ざんされたWebサイトを経由して拡散します。スパムメールの場合は、不正なマクロを埋め込んだ文書ファイルが添付されており、特定URLから「R980」をダウンロードしようとします。7月26日に「R980」が検出されて以降、そのURLへの頻繁な接続が確認されています。

「R980」は、暗号化型ランサムウェア「Locky」と同じように、「CryptAcquireContext」「CryptGenerateRandom」といった暗号化サービスを利用し、ファイルを暗号化します。一方、自身を削除せず、脅迫状のテキストファイル、侵入の痕跡(Indicators of Compromise、IoC)などを残す点は「DMALocker」に似ています。また、自身への追跡を避けるため、数時間後に自動的にメールアドレスが削除される“使い捨てメールアドレスサービス”「Mailinator」を利用しています。

トレンドマイクロは「R980」について“従来のランサムウェアを寄せ集めて作成されているようなもの”としています。しかしその危険度に差はありません。そのため対処法として、Office文書のマクロを無効にすること、未知の送信元からのメールは削除すること、バックアップを取ることなどを呼びかけています。



感染PCの壁紙にも設定される「R980」の脅迫メッセージの例

感染PCの壁紙にも設定される「R980」の脅迫メッセージの例

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ