Shengqin Tsai氏は、このランサムウェア・プログラムは様々な経路、特にスパムメールからユーザーのコンピュータに侵入する可能性があると指摘。トレンドマイクロのプロアクティブなクラウドベースの傍受サービスによると、CRIBITの被害者の40%は米国から、さらに11%は日本からのものでした。
身代金のメモには次のように書かれています:
上記に加えて、TROJ_CRIBIT.B はデスクトップを黒い背景に白いテキストで表示し、現在のステータスをユーザーに通知します。さらに分析を難しくしているのは、このランサムウェア Ransomware はシステム内にコピーを残さないため、挙動を調査したり感染経路を特定したりするためのサンプルを入手することが難しいことです。さらに調査を進めると、トレンドマイクロは、「TROJ_CRIBIT.B」をダウンロードする「TSPY_FAREIT.BB」と呼ばれるFAREIT情報窃取マルウェアの亜種を発見しました。この亜種には「複数のビットコインウォレットから情報を盗む」機能もあり、ファイル情報を検索して盗み出そうとします。
CryptoLockerと同様に、ユーザーはファイルを復号化するためにプロフェッショナルな外観のウェブサイトに誘導されます。このサイトは実際にはディープ・ウェブの一部であり、Tor経由でしかアクセスできませんが、攻撃者は気を利かせて、Torを使わずにディープ・ウェブ・サイトに接続できるサービス、Tor2Webへのリンクを提供しています。彼らは、身代金要求のメモに記載されたBitCrypt IDでログインするよう求められました。
BitCrypt ID のログイン画面は以下のとおりです。
ログイン後、ユーザはBitCryptのウェブページに誘導され、ユーザがメッセージに返信する方法を説明します。しかし、これには0.4ビットコインの支払いが必要です。サイバー犯罪者は、下のイメージに示すように、ウェブサイト上にFAQページまで提供しています:
ウェブサイトの「よくある質問」ページ
BitCrypt は、最近見られるビットコイン関連の脅威の中でも最新のものに過ぎません。ビットコインの価値は昨年末のピークから下落しているとはいえ、ビットコインを使用したマルウェアの窃盗という形であれ、取引所を標的としたような大規模な攻撃という形であれ、窃盗のターゲットとして十分な規模を誇っています。
これらの対策に加え、トレンドマイクロ PC-cillin 2014 クラウドセキュリティエディションなどの情報セキュリティ対策ソフトを導入し、より万全なセキュリティ対策を行うことを推奨します。PC-cillin 2014 クラウドセキュリティエディション」は、世界唯一の「アクティブクラウドブロック技術」を採用し、コンピュータへのウイルスの侵入を積極的に防御・ブロックできるほか、グローバルに接続された環境でグローバルな脅威をリアルタイムに検知し、隠れたセキュリティ脅威を特定することで、ユーザーの安心・安全なデジタルライフをサポートします。
