米CAテクノロジーズやロシアのカスペルスキー研究所などは2010年11月30日、新たな“脅迫ウイルス”が出現したとして注意を呼びかけた。感染するとパソコンのMBR(マスターブートレコード)を書き換えて、特定のパスワードを入力しないと起動しないようにする。そして、100ドル払えばパスワードを教えると“脅す”。
パソコン中のファイルなどを“人質”にして“身代金”を要求するウイルスは「ランサムウエア(ransomware)」などと呼ばれる。ransomwareは、ransom(身代金)とsoftware(ソフトウエア)を組み合わせた造語。
脅迫ウイルスの手口は複数ある。代表的な手口は、パソコンに保存されたファイルを暗号化して利用できなくするもの。元に戻したければ、解読用のパスワードやプログラムを購入する必要があるとして、金銭を要求する。
ファイルを削除すると脅す手口もある。例えば、身代金が振り込まれるまで、30分ごとに1つのファイルを消去すると脅すウイルスが出現している。
今回確認されたウイルスの手口は、パソコンを起動できなくすること。パソコンの起動に関する情報が書かれているMBRの内容を書き換えて、特定のパスワードを入力しないと起動できないようにする。
CAテクノロジーズによれば、今回のウイルスはメールの添付ファイルとして送られてくるという。添付ファイルを実行すると感染。MBRを書き換えてから、パソコンを再起動する。再起動すると、画面には「Your PC is blocked.」といった英文のメッセージが表示され、OSなどが読み込まれない状態になる(図1)。
メッセージには、「すべてのドライブを暗号化した。パソコンを正常に起動したければ、次のURLにアクセスしてパスワードを入手する必要がある」といった内容が書かれている。
ほかのパソコンなどでそのURLにアクセスして、メッセージ中のIDを入力すると、「100ドル払えばパスワードを教える」などと記載されたWebページが表示される(図2)。
セキュリティ企業各社の情報によれば、ウイルスが表示するメッセージには「すべてのドライブを暗号化した」と書かれているが、実際には暗号化していないという。加えて、書き換える前のMBRの情報も保存されているため、復元可能だとしている。
カスペルスキーが解析したところ、パスワードは「aaaaaaciip」だった。その後、パスワードが「aaaaadabia」の亜種ウイルスも出現している。これらのパスワードで元に戻せない場合でも、同社が無料で提供している「Kaspersky Rescue Disk 10」というツールを使えば復元可能だとしている。