2016年1月14日 17:30
ウイルスの要素も持つランサムウェア「VirLock」とは? - ソフォス
セキュリティベンダーのソフォスが、ブログで連載としてさまざまなランサムウェアを紹介しているが、今回は「VirLock」を取り上げている。
VirLockはそれほど知られていないかもしれないが、高度なランサムウェアだという。2014年後半に報告されたが、バイナリ形式など、多くのファイルの種類に感染し、ユーザーのデスクトップをロックするというものだ。
VirLockファミリーは、アンチウイルス・ソフトによる検出を回避するポリモーフィック型ウイルスであるだけでなく、2層目の暗号技術としてxorやxor-rolを用いてエンコードするなど、複数の層で保護コードを持つ。これにより、通常のアンチウイルス・エミュレーションは、実際のウイルスコードに達してホストファイルをクリーンにする前にエミュレーションに失敗してしまう。
また、ドキュメントや画像が関連したファイルに加えて、バイナリファイルにも影響を及ぼすのが特徴だ。実行されると、複数の自身のコピーをさまざまな目的で起動する。Windowsサービスとしてレジストリして永続的に動かそうとしたり、ファイルインフェクターのスレッドを動かしたり、過去に起動したプロセスをモニタリングして、プロセスが他のプロセスにより終了させられた場合に再起動を試みたりするものもある。