新種のランサムウェア GoldenEye

 

弊社が扱うセキュリティ製品（ＵＴＭ）をご提供頂いている宝情報様から新種のランサムウェアの情報を頂戴いたしました。

最近毎月のように新種のランサムウェアが出てきていますが、今回でてきたどこかのスパイ映画のような名前のランサムウェアは春に見つかったランサムウェア　Petya & Mischa（ペチャ＆ミスチャ）　がバージョンアップしたものだそうです。

技術的なことは色々ありますが、他のランサムウェアと大きく違うのは、拡張子が固定ではなく、ランダムの8文字が付与されることです。

通常、ランサムウェアに感染しますと、別の決まった拡張子に替えられ暗号化されるという特徴があり、被害者はその特徴的な拡張子でWeb検索をおこない情報を探すという傾向があります。

しかしながら今回のランサムウェア GoldenEye(ゴールデンアイ)はそれぞれのファイルにランダムな拡張子をつけてしまうため、被害者はどうやってそのウイルスの情報を調べたらいいのかがわからないというのが厄介です。

また、感染後、ブート領域を書き換えてしまう特徴もあります。

感染後、Windowsのブート領域を書き換え、Windowsではなく、べつのもの（チェックディスクに擬態した起動ファイル）を起動し、裏で暗号化をおこないます。

暗号化が終わると身代金の要求画面として上の恐ろしいドクロ画像が表示されます。

身代金を要求するファイル名は『YOUR_FILES_ARE_ENCRYPTED.TXT.』です。

（ちなみに以前のPetya & Mischa（ペチャ＆ミスチャ）は赤い背景に白文字のドクロでしたが、今回のGoldenEye(ゴールデンアイ)は黒背景に黄文字になってます。）

ここまでくるともう暗号化は完了していますので、身代金を払うか、データを諦めるかになります。

また、そうなる前、チェックディスク（CHKDSK）の時点で強制的に終了させてHDDを取り出したとしても、中のデータにはアクセスできないようになっています。

これまでのランサムウェアは感染しても、暗号化されても、Windows自体は普通に使えていましたから、かなり悪質度が上がったように思われます。

 

GoldenEye(ゴールデンアイ)に暗号化されたファイルのデータ復旧は？

 

問題は暗号化されたファイルの復旧方法ですが、残念ながらまだ詳細な情報が無いため、復旧可否がわかりません。ベースになっているPetya & Mischa（ペチャ＆ミスチャ）は一部復元可能な場合もありましたが、果たして今回はどうなのか、実例待ちの状況です。

恐らく、数日中には世界中にばら撒かれると思います。

これまでの新種ランサムウェアも発見されて数日内には被害に遭われた企業様から相談を受けています。

新種の場合はその情報も少なく、誤った対策法が出回る場合も多く、あまりネットの情報を鵜呑みにされず、もし周りにＩＴ系に詳しい方がいらっしゃいましたらご相談されることをお勧めいたします。

ランサムウェアからの復旧を謳う企業はたくさんありますが、詐欺まがいの会社も多数ありますので、データ復旧業者へのご依頼時にはご注意ください。

 

出典元：http://www.takarajoho.com/3323