セキュリティ・ベンダーのフィンランドF-Secureは現地時間5月16日,パソコン中の特定ファイルをパスワード付きの圧縮ファイル(アーカイブ・ファイル)にして利用できないようにし,「パスワードを教えてほしければ特定の商品を購入しろ」と“脅迫”するウイルス(悪質なプログラム)を確認したと発表した。
ファイルを“人質”にとって身代金を要求するウイルスは「ransomware(ランサムウエア)」などと呼ばれ,今までにも多数確認されている。ransomwareは,ransom(身代金)とsoftware(ソフトウエア)を組み合わせた造語。
関連記事1:「パソコンを復旧させたければ金払え」,ユーザーを脅迫するウイルスが続出
関連記事2:PCのファイルを“人質”にとるウイルス,「復元したければ金を払え」
関連記事3:「30分ごとにファイルを1つずつ消去していく」,脅迫ウイルス出現
今回確認された「MayArchive.B」が今までの脅迫ウイルスと異なる点は,金銭を要求せずに,あるオンライン・ショップで特定の商品を購入するよう要求すること。購入すれば,人質に取られたファイルを復元するためのパスワードを教えるとしている。
MayArchive.Bは次のように動作する。まず,ユーザーがMayArchive.Bを実行すると,MayArchive.Bは特定の拡張子(.doc,.xls,.zip,.jpg,.pdfなど)を持つファイルを探し出し,独自形式の圧縮ファイル(アーカイブ・ファイル)「EncryptedFiles.als」に一まとめにする。そして,元のファイルは削除する。このファイルは「Encrypted」とされているが,実際には暗号化されていない。だが,同ファイルにはパスワード・ロックがかけられているので,技術に詳しい人間でなければ,手動では(パスワードなしでは)ファイルを復元することは難しいという。
同時にMayArchive.Bは,パスワードの入手方法などを記したテキスト・ファイルを「マイ ドキュメント」フォルダにコピーする。そのファイルには,「パスワードを入手する以外に,ファイルを復元する方法はない。警察に知らせても,彼らはパスワードを知らないので無駄だ」といった“決まり文句”が書かれている。
その後,「我々はお金が欲しいわけではない。あなたとビジネスがしたいだけだ」などと書かれている。詳細については,同ファイルに書かれたメール・アドレスあてにメールを送るように書かれている。メールを送ると,特定の商品を購入するよう要求するメールが送られてくるという。
万一,MayArchive.Bを実行してファイルを人質に取られても,メールを送る必要はない。F-Secureがパスワードを明らかにしているからだ。同社では,パスワードとともに,ファイルを復元するための手順をまとめている。なお,ファイルの復元にはMayArchive.Bを使用するので,復元前にMayArchive.Bを削除してはいけない。また,MayArchive.Bにはバグがあるので,復元するとファイルが破損している場合があるという。
◎参考資料
◆"We do not want to do you any harm" says the trojan(フィンランドF-Secure)
◆MayArchive.B
