ランサムウェアからコンピューターを守るには?

勝手にファイルを暗号化し、復号化するために身代金を要求するランサムウェア「CryptoLocker」が問題となったのは2013年9月のことだ。その後、CryptoLockerのサーバーインフラは2014年に一掃されたものの、マルウェアの製作者は新たな変種を生み出していると、セキュリティベンダーのソフォスが指摘している。

このブログでは、ファイル暗号化ランサムウェア「TorrentLocker」を取り上げている。TorrentLockerは地理的に明確にターゲットを絞ることで知られており、スパムメールのキャンペーンを展開する。特徴の1つが、ターゲットとする地域にローカライズしたメッセージを出しておびき寄せること。観測では、TorrentLockerがターゲットにした地域は、かなりの範囲に及ぶ。

このマルウェアは、AESを利用してさまざまな種類のファイルを暗号化し、復号化するためにビットコインによる支払いを要求する。さらには、犠牲者のマシンからの電子メールアドレス情報を収集して、拡散に利用する。

TorrentLockerへの感染経路は、スパムメールから始まる。ソフォスはTorrentLocker実行ファイルが直接メールメッセージに添付されたものや、TorrentLockerファイルをダウンロードして実行するマクロを組み込んだオフィスドキュメントが添付されたスパムメールを観測している。このほかには、クリックするとTorrentLockerファイルのダウンロードを開始してしまうリンクを含むメールもある。

感染が最も多いのは米国で44%だが、さまざまな国で被害が報告されている。これはTorrentLockerがローカライズされたキャンペーンを展開している点と関係があると言える。

感染の疑いがある場合はTorrentLockerに対応しているマルウェア対策プログラムを利用して削除しよう。暗号化されてしまったファイルは、残念ながら身代金を支払わないと回復できない可能性が高いという。

アンチウイルスソフト以外の対策としては、以下の作業を行うよう推奨している。

ファイルのバックアップをとる
Windowsやその他のソフトウェアを定期的に最新版にする
信頼できない電子メールのリンクや添付ファイルをクリックしない
Microsoft OfficeアプリケーションのActive Xコンテンツを無効化する
ファイアウォールをインストールし、TorとI2Pを遮断する
リモートデスクトップ接続を無効化
%APPDATA%と%TEMP%パスを走らせないようにバイナリを遮断