こんにちは、BackStore チームです。
暑さはようやく下火になってきましたが、ランサムウェアの勢いは衰えを見せません。
先日、神戸大学でも業務用のパソコンが zepto ランサムウェアに感染したと報道されました。
メール添付からの感染だということですが、パソコンだけでなく NAS のデータも暗号化されていたということです(参照:Security NET 2016/09/09)。
ますます対岸の火事ではない感が出ているランサムウェアですが、先週、また新たなランサムウェアが発見されました。
その名も Cry (または CryLocker )です。
その1. Cry とは?
Cry はパソコンに侵入すると、まずファイルをコピーします。
次に、コピーしたファイルを暗号化します。
なお、拡張子は全て .cry に変換されます。
そして、ファイルのオリジナルも、シャドーコピーも、全て削除されます。
ファイルをコピーして暗号化という挙動も特殊ですが、さらにこの Cry は、攻撃により取得した情報を画像共有サービスの Imgur に投稿します。
その2. なぜ Imgur に投稿するの?
通常のランサムウェアであれば、情報の送信先は、攻撃者のサーバです。が、Cry はその代りに取得した情報を PNG 画像に変換し、世界最大級の画像共有サービス Imgur へと送ります。
なお、投稿される情報は、ユーザの位置情報や暗号化されたファイルのリスト、MAC アドレスなどです。
こんなまわりくどい方法を用いるのは、攻撃者のサーバ情報を隠すためです。
なお、Imgur 内にある CryLocker のアルバムには、すでに 10,000 以上の被害者のデータがアップされているとのことです。
また、身代金要求額は約$630前後(約64,100円)です。(参照:softpedia 2016/9/6 )
最後に
ランサムウェアによる情報流出の危険性は早くから囁かれていました。が、情報を売るのではなく、画像共有サービスへ投稿するというケースは初めてです。
ランサムウェアの模倣と改善のスピードは、他のマルウェアと比べても驚異的です。他のランサムウェアが同様の手法を用いないとも限りません。
ランサムウェアに感染しないための予防策、感染した場合にデータを復旧させるための事後策が必要です。
なお、CryLocker はオリジナルを削除してしまうため、データ復旧サービスなどを用いることができない可能性があります。
パソコン・サーバ・NAS を東京・沖縄へバックアップ→ BackStore
AWS クラウドへのパソコンバックアップを500円から→ Backpulse
