毎日なんかの形で目にするランサムウェア。うんざりなんですが、そんな中、ランサムウェアがどのように感染して、どのように暗号化されていくかが書かれた面白いページを発見しました。
SOPHOSという会社のホームページ内の、CrptoLockerというランサムウェアが感染するときにどういう動きをするかについて書かれたページです。
URLはこちらです。
https://www.sophos.com/ja-jp/press-office/press-releases/2013/10/ns-destructive-malware-cryptolocker-on-the-loose.aspx
SOPHOSについて
SOPHOS(ソフォス) は、コンピュータセキュリティのソフトウェアおよびハードウェアを開発・提供するベンダーです。通信エンドポイント、暗号化、ネットワークセキュリティ、電子メールセキュリティ、モバイルセキュリティ、統合脅威管理製品など、主に法人向けのセキュリティ製品を提供している会社です。
このページによると、
1. CryptoLockerに感染する
2. Documents and Settingsに自信をインストールする
3. ログオン時、ウィンドウズが自動的に自信を起動するようにレジストリに書き込む
4. ランダムなサーバー名を生成し、これらの名前のサーバーに対して次々にインターネット接続を試みる
5. 到達するサーバを見つけたら、感染したパソコンからそのサーバに「CryptoLocker ID」を渡す
6. サーバはそのIDから公開キーと秘密キーのセットを生成する
7. 感染したコンピュータに公開キーのみを渡す(公開キーはファイルを暗号化するためのキー、秘密キーは暗号化を解除するためのキー)
8. 感染したコンピュータ上のマルウェアがこの公開キーを使ってイメージ、ドキュメント、スプレッドシートといったファイルなどを暗号化する
※ 感染PCからアクセスできるすべてのドライブやフォルダーのファイルを暗号化しようとするので、他のパソコンで共有しているファイルや、ファイルサーバなどもすべて暗号化される可能性があります。
9. 暗号化した後、マルウェアが「支払ページ」をポップアップさせる
なるほどです。
このランサムウェアに感染してから、暗号化開始までの間にウィルスを検知し、削除すれば助かるということになるわけですが、その時間、どれくらいかご存知ですか?
わずか50秒 だそうです。
こちらのYOMIURI ONLINE(URL: http://www.yomiuri.co.jp/science/goshinjyutsu/20151204-OYT8T50135.html )の記事によると、トレンドマイクロ社が用意した仮想のニュースサイトで、感染源となる広告が表示されてからわずか50秒でランサムウェアが動きだし、ハードディスクのファイルが暗号化されたということです。
感染を防ぐには
Webを見るだけで感染するのですが、すべてのパソコンが「見ただけで感染」するわけではありません。
ブラウザやOS、Acrobat Reader、Flash、Javaなどの脆弱性(=ウィルスを侵入させる抜け穴)があるパソコンが感染します。
Windowsを使っている方は皆さん知っていると思いますが、定期的にWindowsUpdateが配布されますし、Acrobat Readerやその他のプログラムも同様に脆弱性に対する更新を配布しています。
ですので、使っているソフトウェアは常に最新バージョンにしておきましょう。
でないと、いつしか後悔の日がやってくるかもしれないですよ!
本日も最後まで読んでいただき、ありがとうございました。
ブログランキングに参加しています。
もしよろしければ応援よろしくお願いします。
にほんブログ村
【このカテゴリーの最新記事】
-
-
-
-
- no image
