CryptoLocker

CryptoLockerとは

CryptoLockerは、2013年9月にDell SecureWorksによって発見された、Windowsオペレーティングシステム上で動作するマルウェアの一種です。このウイルスは、感染したコンピュータに保存されている特定のファイルをRSA公開鍵暗号方式を用いて暗号化します。感染経路の一つとして、正常な電子メールの添付ファイルを装う方法が挙げられます。

感染のしくみ

CryptoLockerは、信頼できる企業から送信されたように見せかけた電子メールに添付されているファイルを通じて拡散します。例えば、PDFファイルを模した実行ファイルが含まれ、実体が.EXE拡張子のファイルであることを隠すために設定が行われています。ユーザーがそのファイルを実行すると、マルウェアは感染したコンピュータに自身をインストールし、再起動時に自動的に起動します。

この後、CryptoLockerは複数のコマンド＆コントロールサーバーに接続し、2048ビットのRSA公開鍵を生成して感染したコンピュータに送信します。これにより、マウントされたネットワークドライブやローカルファイルが暗号化され、ユーザーには暗号化の完了した旨のメッセージが出されます。

身代金の要求

暗号化された後、ユーザーには72時間から100時間以内に400ドルまたはそれに相当するビットコインを支払うよう要求されます。支払いがなければ、攻撃者は秘密鍵を削除することでファイルの復号を不可能にすると脅迫します。なお、身代金を支払ったにもかかわらず、確実にファイルが復号される保証はありません。

除去と復号方法

CryptoLockerを削除することは比較的容易ですが、一度暗号化されたファイルに対する復号は非常に困難です。多くの専門家は、バックアップを取っていない場合には身代金を支払わざるを得ないと考えていますが、支払ってもファイルが戻らないケースが多いことが実証されています。2014年5月、法執行機関による大規模な作戦によってCryptoLockerのネットワークが壊滅的な打撃を受け、復号に必要な鍵が流出。これにより、被害者は身代金なしでファイルを復元できるようになりました。

セキュリティ対策

近年のセキュリティソフトウェアはこの種のマルウェアを検出する能力が向上していますが、未知の新種に対しては効果が薄いこともあります。したがって、ネットワークに接続されていないオフラインバックアップが推奨されます。さらに、新たなバージョンのCryptoLockerが誕生する可能性もあるため、常に注意が必要です。

亜種と類似の脅威

CryptoLockerの影響を受け、多くの亜種が出現しました。中でもCryptoLocker 2.0やCryptoDefenseは、その手口の巧妙さを増しています。それぞれ異なるアルゴリズムや要求内容が特長ですが、本質は同じくファイルを暗号化し、身代金を要求するランサムウェアです。

まとめ

CryptoLockerは、その巧妙な手口によって多くのユーザーに深刻な影響を及ぼしています。ファイルが失われる危険性を考慮し、常日頃からのバックアップやセキュリティ対策が不可欠です。もし感染してしまった場合は、冷静に状況を分析し、専門家の助言を受けながら対策を講じることが重要となります。

もう一度検索