研究者は、CryptoLockerランサムウェアの新しい亜種を発見しました。これは、元のバージョンよりも多くのユーザーに感染する可能性があります。
CryptoLockerの背後にいる犯罪者は、ランサムウェアをトロイの木馬からUSB拡散ワームに変更したようです。トレンドマイクロの研究者は最近、そのセキュリティインテリジェンスブログに書いています。 トロイの木馬として、CryptoLockerはユーザーのコンピューターに感染するために自分自身で拡散することはできませんでした。 ユーザーが電子メールの添付ファイルを開くか、電子メール内のリンクをクリックして、コンピューターに自身を実行およびインストールすることに依存していました。 ただし、CryptoLockerはワームとして自身を複製し、リムーバブルドライブを介して拡散する可能性があります。
再確認が必要な場合、CryptoLockerはランサムウェアです。 これは、コンピューター上のファイルをロックし、ファイルのロックを解除するために身代金を要求するマルウェアの一種です。 ファイルは暗号化されているため、マルウェアを削除してもファイルは解放されません。 ファイルを取り戻す唯一の方法は、犯罪者に選択した金額を支払うことです(最近の攻撃ではBitCoinsの機能が要求されました)か、コンピューターを消去してバックアップから復元するだけです。
マルウェアの新しいバージョンは、ピアツーピア(P2P)ファイル共有サイトのAdobe PhotoshopやMicrosoft Officeなどのソフトウェアのアクティベーターのふりをしている、とトレンドマイクロは述べています。 ブログ投稿によると、マルウェアをP2Pサイトにアップロードすると、悪意のある人がスパムメッセージに煩わされることなくシステムに簡単に感染することができます。
「この新しい亜種の背後にいる悪者は、マルウェアを拡散するためにスパムメールキャンペーンを一掃する必要はありません」と、セキュリティ研究者のGraham Cluley氏は述べています。
ワームの感染方法
簡単なシナリオを想像してください。 USBドライブを借りて、あるコンピューターから別のコンピューターにファイルを移動したり、誰かにファイルのコピーを提供したりします。 そのドライブがCryptoLockerワームに感染している場合、ドライブが接続されているすべてのコンピューターが感染します。 また、そのコンピューターがネットワークに接続されている場合、Cryptolockerの作業は、接続されている他のドライブを探すことができます。
「CryptoLockerが組織全体のPCに感染しやすくなる可能性がある」とCluley氏は述べています。
ただし、この新しい亜種には良い兆候があります。 元のCryptoLockerマルウェアは、ドメイン生成アルゴリズム(DGA)を使用して、多数のドメイン名を定期的に生成し、コマンドアンドコントロール(C&C)サーバーに接続していました。 一方、新バージョンのCryptoLockerは、コマンドアンドコントロールサーバーのURLがランサムウェアにハードコーディングされているため、DGAを使用していません、とトレンドマイクロは述べています。 これにより、関連する悪意のあるURLの検出とブロックが容易になります。
しかし、それはマルウェアがまだ改良および改善のプロセスにあり、ワームの新しいバージョンがDGA機能を備えている可能性があることを意味している可能性がある、とトレンドマイクロは警告しました。 DGAを含めると、ランサムウェアを検出してブロックすることはより困難になります。
私は何をしますか?
Trend MicroとCluleyは、何をすべきかについていくつかの推奨事項がありました。
ユーザーはP2Pサイトを使用してソフトウェアのコピーを取得することを避け、公式サイトまたは評判の良いサイトを使用する必要があります。
また、ユーザーは、USBドライブをコンピューターに接続する際に非常に注意する必要があります。 横になっているものを見つけた場合は、プラグを差し込まないでください。
「安全なコンピューティング慣行に従い、コンピューターで実行するものに注意し、アンチウイルスを最新の状態に保ち、あなたについての知恵を忘れないでください」とCluley氏は言います。
