米CAテクノロジーズやロシアのカスペルスキー研究所などは2010年11月30日、新たな“脅迫
ウイルス”が出現したとして注意を呼びかけた。感染するとパソコンのMBR(マスターブートレコード)を書き換えて、特定の
パスワードを入力しないと起動しないようにする。そして、100ドル払えば
パスワードを教えると“脅す”。
パソコン中のファイルなどを“人質”にして“身代金”を要求する
ウイルスは「ランサムウエア(ransomware)」などと呼ばれる。ransomwareは、ransom(身代金)とsoftware(ソフトウエア)を組み合わせた造語。
脅迫
ウイルスの手口は複数ある。代表的な手口は、パソコンに保存されたファイルを暗号化して利用できなくするもの。元に戻したければ、解読用の
パスワードやプログラムを購入する必要があるとして、金銭を要求する。
ファイルを削除すると脅す手口もある。例えば、身代金が振り込まれるまで、30分ごとに1つのファイルを消去すると脅す
ウイルスが出現している。
今回確認された
ウイルスの手口は、パソコンを起動できなくすること。パソコンの起動に関する情報が書かれているMBRの内容を書き換えて、特定の
パスワードを入力しないと起動できないようにする。
CAテクノロジーズによれば、今回の
ウイルスはメールの添付ファイルとして送られてくるという。添付ファイルを実行すると感染。MBRを書き換えてから、パソコンを再起動する。再起動すると、画面には「Your PC is blocked.」といった英文のメッセージが表示され、OSなどが読み込まれない状態になる(図1)。
メッセージには、「すべてのドライブを暗号化した。パソコンを正常に起動したければ、次のURLにアクセスして
パスワードを入手する必要がある」といった内容が書かれている。
ほかのパソコンなどでそのURLにアクセスして、メッセージ中のIDを入力すると、「100ドル払えば
パスワードを教える」などと記載されたWebページが表示される(図2)。
セキュリティ企業各社の情報によれば、ウイルスが表示するメッセージには「すべてのドライブを暗号化した」と書かれているが、実際には暗号化していないという。加えて、書き換える前のMBRの情報も保存されているため、復元可能だとしている。
カスペルスキーが解析したところ、パスワードは「aaaaaaciip」だった。その後、パスワードが「aaaaadabia」の亜種ウイルスも出現している。これらのパスワードで元に戻せない場合でも、同社が
無料で提供している「Kaspersky Rescue Disk 10」というツールを使えば復元可能だとしている。
PC onlineより
http://pc.nikkeibp.co.jp/article/news/20101201/1028877/