ランサムウェアは全世界で問題になっていますが、中国語で書かれたものはあまり例がありません。最近、シマンテックセキュリティレスポンスは新しいタイプの Ransomlock マルウェアを発見しました。中国から発信されているという点で新しいだけでなく、コンピュータのロックを解除するためにユーザーに支払いを強要するときにも新しい手口が使われています。
このマルウェアは簡易プログラミング言語で書かれており、大部分は中国語インスタントメッセージの大手プロバイダを通じて拡散しています。コンピュータが感染すると、このマルウェアは現在のユーザーのログイン情報を変更し、新しいログイン情報でシステムを再起動します。ログインパスワードは「tan123456789」に書き換えられますが(これは、シマンテックが確保したサンプルにハードコードされていました)、作成者がマルウェアを更新すれば、パスワードも更新される可能性があります。アカウント名は「パスワードを知りたかったら [IM アカウントユーザー ID] にアクセス」という内容の言葉に変更されます。コンピュータを再起動するとユーザーはログインできなくなり、このアカウント名(メッセージ)が表示されて、新しいパスワードを入手するにはこのユーザー ID にアクセスするようにと指示されます。
図 1.システムの再起動後にアカウント名が変更されたログイン画面
指定されたユーザー ID にアクセスすると、これはほぼ間違いなくマルウェアの作成者であり、そのプロフィールページにおよそ 20 元(約 320 円)を要求するメッセージが表示されています。メッセージには、送金を受け取りしだいログインパスワードを送信するという内容に加え、マルウェアの作成者を通報したりした場合にはユーザーは遮断されるとも書かれています。
シマンテックは、この脅威を Trojan.Ransomlock.AFとして検出します。この脅威にすでに感染してしまった場合には、システムアクセスを回復する方法がいくつかあります。
- パスワード「tan123456789」を使ってシステムにログインし、パスワードをリセットする(すでに述べたように、マルウェアの作成者がパスワードを変更する可能性があるため、この方法は必ずしも有効とは限らない)。
- 別の管理者アカウントを使ってシステムにログインし、パスワードをリセットする。
- 現在のアカウントがスーパー管理者のアカウントでない場合は、セーフモードで起動してスーパー管理者としてログインし、パスワードをリセットする。
- Windows リカバリディスクを使ってパスワードをリセットする。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。