米トレンドマイクロは2007年7月17日(米国時間)、パソコンに保存されているファイルを暗号化して使用不能にするウイルスが確認されたとして注意を呼びかけた。元に戻すには、300ドル支払って復号ツールを購入する必要があると“脅迫”する。同社の顧客である米国企業数社(大企業を含む)が、このウイルスに感染したと報告している。
パソコンにあるファイルを暗号化するなどして“人質”にして、“身代金”を要求するウイルスは「ランサムウエア(ransomware;身代金を要求するソフトウエア)」と呼ばれる。
今回確認されたランサムウエアを、同社では「TSPY_KOLLAH.F」と命名。このランサムウエアは、あるWebサイトに置かれているという。ファイル名は「pajero.exe」。ユーザーがダウンロードして実行すると、ランサムウエアはアクセス可能なドライブすべてを検索し、「Office」の文書ファイル(.doc、.xls、.pptなど)やPDFファイル、圧縮ファイル(.zipや.rarなど)などを、RSAと呼ばれる暗号方式で暗号化する。
同時に、すべてのフォルダーに「READ_ME.TXT」というファイル名の“脅迫状”をコピーする。このファイルには、英語で以下のような内容が書かれている。
「あなたのファイルは、4096ビットのRSA暗号で暗号化されています。私たちのソフトウエアを使わなければ、2-3年は復号できません。また、(パソコンに保存されていた)ここ3カ月間のあなたの個人情報(ファイル)はすべて収集され、私たちに送信されました。
(暗号化されたファイルを)復号するには、私たちのソフトウエアを購入する必要があります。価格は300ドルです。購入するには、×××××@gmail.com(Gmailのメールアドレス)に連絡してください。売買が成立すれば、復号用のソフトウエアを送るとともに、(収集した)あなたの個人情報を削除します。
2007年7月15日までに連絡がなければ、あなたの個人情報を公開します。あなたはすべての情報を失うことになります。」
ただしトレンドマイクロの情報によれば、実際には、パソコン中のファイルは暗号化されるだけで、外部に送信されることはない模様。
ファイルの暗号化に加えて、今回のランサムウエア(ウイルス)は、Windowsのセキュリティ設定を低くするとともに、実行中のウイルス対策ソフトやセキュリティソフトを停止する。このため、このランサムウエアに感染すると、さらなる攻撃を受ける恐れがあるとして注意を呼びかけている。
トレンドマイクロのウイルス対策ソフトでは、最新のパターンファイルで、このランサムウエアに対応済みであるという。
