研究者は、少なくとも50の亜種があり、インストールされるたびに被害者から150ドルを得るという新しい暗号ランサムウェアの脅威を発見しました。
最近、被害者のファイルを暗号化し、復号化するための料金として300ドルを脅し取ったことで話題となったマルウェア「Cryptolocker」ですが、現在、さらに低い要求価格を提示する競合製品が登場しており、セキュリティ・スタートアップ企業であるIntelCrawlerの研究者は、新たに登場したランサムウェアが12月5日に大規模な拡散を開始する勢いをすでにつけていると主張しています。
この新しい暗号ランサムウェアは、まずadobe.comに電話をかけることで感染したネットワークコンピュータを検出し、被害者のコンピュータ上のファイルの暗号化されたバックアップを作成します。攻撃者は、各ディレクトリにCONTACT.TXTファイルを置き、このテキストファイルは、被害者がキーを購入するための連絡先情報を提供します。
9月に登場したCrytolockerランサムウェアとは異なり、この新しいランサムウェアはビットコインによる支払いのオプションを提供していません。その代わりに、詐欺師たちは被害者に対し、エンド・ツー・エンドの支払い、またはロシアのQIWI Visaのバーチャルカード番号を使ってキーの代金を支払うよう求めています。
この新しいランサムウェアは、多くのボットネットで一般的なコマンド・アンド・コントロール・インフラを使用する代わりに、特別に作成された復号化ソフトウェアを通じて感染したコンピュータを管理します。
"Decryptor "のような各ランサムウェアには、ハードコードされたIPアドレスのリストがあり、各サンプルがステルスとして動作するために、C&Cなしで操作を実行するのに役立ちます。「と、IntelCrawler の CEO、Andrey Konarov 氏は ToTech.com に語っています。
コマロフ氏によると、闇市場で「ペイ・パー・インストール」プログラムとして販売されている50種類のマルウェアを発見したとのこと。そのうちの1つはすでに6000台のコンピュータに感染しており、コマロフ氏によれば、ロシアの感染率が最も高く、次いで米国とオランダが僅差で続いているとのこと。
マルウェアを簡単に拡散させる他のネットワークと同様、悪者はさまざまな方法でコンピュータを感染させています。スパムメールを使ったものもあれば、偽の音楽ファイルなどのランディングページを使ったものもあります。
良いニュースは、IntelCrawlerは、アンチウイルス会社は、この種のソフトウェアの検出率が高いと主張していることです。
同社は被害者に対し、暗号化されたファイルの名前を変更しないこと、コンピュータのホスト名を変更しないことを推奨しています。同社は、この脅威に対処するため、普遍的に適用可能な復号化ソフトウェアに取り組む方法を見つけようとしています。
Komarov氏によると、この脅威の背後にいる犯罪組織は、ファイルにAES-CTR暗号化を適用する無料のTurboPower LockBoxライブラリ上に独自のツールを作成したとのことです。
