勝手にファイルを暗号化し、復号化するために身代金を要求するランサムウェア「CryptoLocker」が問題となったのは2013年9月のことだ。その後、CryptoLockerのサーバーインフラは2014年に一掃されたものの、マルウェアの製作者は新たな変種を生み出していると、セキュリティベンダーのソフォスが指摘している。
このブログでは、ファイル暗号化ランサムウェア「TorrentLocker」を取り上げている。TorrentLockerは地理的に明確にターゲットを絞ることで知られており、スパムメールのキャンペーンを展開する。特徴の1つが、ターゲットとする地域にローカライズしたメッセージを出しておびき寄せること。観測では、TorrentLockerがターゲットにした地域は、かなりの範囲に及ぶ。
このマルウェアは、AESを利用してさまざまな種類のファイルを暗号化し、復号化するためにビットコインによる支払いを要求する。さらには、犠牲者のマシンからの電子メールアドレス情報を収集して、拡散に利用する。
TorrentLockerへの感染経路は、スパムメールから始まる。ソフォスはTorrentLocker実行ファイルが直接メールメッセージに添付されたものや、TorrentLockerファイルをダウンロードして実行するマクロを組み込んだオフィスドキュメントが添付されたスパムメールを観測している。
