英国の国家犯罪対策庁(NCA)は先週、大量スパム攻撃によってきわめて多くのユーザーが Cryptolocker マルウェアの標的になっていると警告しました。
この警告によると、英国内で数百万人ものユーザーが悪質な電子メールを受け取っており、その主な標的は中小規模の企業のようです。
Trojan.Cryptolockerについては最近のブログでも取り上げており、ランサムウェアに類する脅威の活発な進化の状況を報告しました。Cryptolocker は、侵入先のコンピュータ上のファイルを暗号化し、復号鍵を取引材料として身代金を要求する手口で増加しています。シマンテックは、『インターネットセキュリティ脅威レポート』の最新号で、このようなランサムウェアの急増を予測していました。
Image may be NSFW.
Clik here to view.
図 1. Cryptolocker に誘導されるスパムメールの例
このスパム攻撃では、被害者を狙うさまざまなワナが使われています。たとえば、覚えのない番号から発信された音声メッセージや、未払いの請求書などに偽装した電子メールが確認されています。
Image may be NSFW.
Clik here to view.
図 2. Cryptolocker に誘導されるスパムメッセージの別の例
悪質な添付ファイル自体はダウンローダであり、それを使って Trojan.Zbotなど他の脅威が取得されます。それが最終的に Cryptolocker の感染を引き起こして身代金を要求します。
Image may be NSFW.
Clik here to view.
図 3.復号鍵に必要な支払いの要求画面
NCA の警告によると、2 枚の Bitcoin(2013 年 11 月 18 日時点で 653 ポンドに相当)を要求する Cryptolocker のサンプルが確認されています。シマンテックが解析したサンプルの中には、Bitcoin を 1 枚だけ要求するものもありました。
シマンテックの Email Security.cloudをお使いのお客様は、組み込みの Skeptic™ テクノロジにより、このスパム攻撃から保護されています。また、シマンテックはこれらのサンプルに対して以下のセキュリティシグネチャを用意しています。
| 検出名 | 検出定義のタイプ |
| Downloader | ウイルス対策シグネチャ |
| Trojan.Zbot | ウイルス対策シグネチャ |
| Trojan.Cryptolocker | ウイルス対策シグネチャ |
| Trojan.Cryptolocker!g2 | ヒューリスティック検出 |
| Trojan.Cryptolocker!g3 | ヒューリスティック検出 |
| System Infected: Trojan.Cryptolocker | 侵入防止シグネチャ |
シマンテックでは、今後も Cryptolocker マルウェアの最新版に対して保護対策の提供を続けていきますが、お客様の側でも、万一 Cryptolocker に感染した場合に予想される損害を最小限に抑えるための対策として、ファイルを定期的にバックアップすることを強くお勧めします。組み込みツールを使ってファイルを復元する方法については、「Recovering Ransomlocked Files Using Built-In Windows Tools(ランサムウェアでロックされたファイルを Windows の組み込みツールで復元する)」(英語)と題したサポート記事を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。
