is702
ニュース

欧州中心に拡散のランサムウェア、「身代金を払っても復活は不可能」と判明

2017/07/03

トレンドマイクロは6月28日、公式ブログで「続報:欧州を中心に甚大な被害、暗号化ランサムウェア『PETYA』の活動を詳細解析」と題する記事を公開しました。

数日前より、暗号化型ランサムウェア「PETYA(ペトヤまたはペチャ)」亜種による大規模攻撃が、欧州を中心に確認されていましたが、トレンドマイクロが詳細な解析を行った結果、その巧妙な活動手法が明らかになってきました。「PETYA」は、通称「Eternal Blue」と呼ばれる脆弱性(MS17-010)を利用し、PCに侵入しようとしますが、遠隔でプロセスを実行するMicrosoftの正規ユーティリティツール「PsExec」、コマンドラインツール「WMIC」も利用していることが判明しました。

攻撃の流れとしては、まず「PsExec」を「dllhost.dat」という偽名で実行し、これに失敗した場合「WMIC」を実行し、それでも拡散が成功しなかった場合に限り、脆弱性EternalBlueを利用した拡散を行います。これらの活動時には、ユーザアカウントの認証情報が必要となりますが、PETYA亜種は、正規のセキュリティツール「Mimikatz」を改造したツールを、認証情報の抽出に利用します。この改造ツールは32ビット版と64ビット版が両方用意されており、高度な技術のもと、準備をしていることがうかがえます。

活動を開始したPETYA亜種は、ファイル暗号化の前に、まず起動ドライブの「Master BootRecord(MBR)」を上書きし、OSが起動できないようにします。またファイルシステムのインデックス「Master File Table(MFT)」も書き変えます。これにより端末は、Windows OSが起動できなくなり、脅迫メッセージや偽のCHKDSK画面を表示するようになります。

さらに、今回の亜種は、利用した暗号化キーを削除しており、“マルウェアの製作者自身でも、復号が不可能だ”と判明しました。身代金要求文書に記載された電子メールアカウントが、すでに無効になっていることも指摘されています。つまりこれは「感染しても身代金を払えない。払っても復旧できない」ということです。

このようにPETYAは、非常に巧妙かつ悪質な活動を行うランサムウェアだと言えます。万が一感染した場合、最悪の結果を招くことは間違いありません。今後も各種情報に注意するとともに、最新の対応策を導入することが望ましいでしょう。



「PETYA」による身代金要求の画面表示<br />

「PETYA」による身代金要求の画面表示


  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ