日経NETWORK 2016年6月号からの転載です。記事は当時の状況を解説しています。

 ランサムウエアは、パソコンのデータを人質にとって金銭を要求するウイルスです。ファイル単位でデータを暗号化し、金銭を支払えば復号するものが主流ですが、最近ちょっと違うランサムウエアが出てきました。今回は、新種ランサムウエアの検体を二つ入手したので、安全な環境を用意して調査しました。

 ランサムウエアに感染すると、誰しも少なからず慌ててしまうでしょう。そんなとき、あらかじめ対処方法を知っているかどうかで、被害の大きさが変わってきます。感染後の対応手順がわかるチャートを用意したので、ぜひ活用してください。

ディスク単位で非読化するPetya

 今回調査したランサムウエアは「Petya」と「Jigsaw」です。これらに注目したのは、現在主流のランサムウエアにはない、変わった特徴があったからです(図1)。Petyaはディスク単位でデータを読めなく(非読化)します。Jigsawはファイル単位でデータを暗号化するものの、感染してすぐに金銭を支払わないとファイルを一つずつ消していきます。また両方とも、感染後に恐怖をあおる不気味な画面を表示するのも特徴です。

図1●今回調査したランサムウエアの特徴
図1●今回調査したランサムウエアの特徴
今回調査したのは「Petya(ペチャ)」と「Jigsaw(ジグソウ)」。Petyaはディスク単位で非読化し、ディスクにアクセスできなくする。Jigsawは主流のランサムウエア同様にファイル単位で暗号化するが、支払いの制限時間がある。
[画像のクリックで拡大表示]

 まずはPetyaから見ていきましょう。Petyaに感染すると、一瞬ブルースクリーンになり、OSが再起動されます。その後チェックディスクに似た画面が表示され、ユーザーにはOSが起動したかのように見えます。しかしこれは、Petyaが悪さをしていることを見せないようにする仕掛けでしょう。

 この後、画面にドクロが表示されて多くのユーザーはここで感染に気付きます(図2)。パソコン内のファイルには一切アクセスできません。ディスク内のファイルを管理する「ファイルテーブル」や、OSを起動するための情報が書き込まれた「MBR(マスターブートレコード)」が上書きされ、ディスクそのものにアクセスできなくなるからです

図2●Petyaに感染したときの画面と修復方法
図2●Petyaに感染したときの画面と修復方法
Petyaに感染するとドクロの画面が表示され、ディスクにアクセスできなくなる。修復のための専用ツールを使ってディスクから解析に必要なデータを取り出し、Webサイトでそのデータを入力すると解除キーを入手できる。この解除キーを感染後の画面に入力すると元に戻る。
[画像のクリックで拡大表示]
▼MBR
ディスクの先頭512バイトの領域で、パソコンの起動時に最初に読み込まれる部分。OSの起動に必要なプログラムやパーティションに関する情報などが書き込まれている。
▼アクセスできなくなるからです
このように非読化されたディスクは、別のパソコンにつないでも、フォーマットされていないディスクとして認識されてしまう。

修復ツールで解除キーを入手可能

 ディスクを修復するには、解除キーを入力する必要があります。ドクロの画面でキーボードの適当なボタンを押すと、解除キーの入手方法が書かれた画面が表示されます。解除キーを入手するには、通信元を隠ぺいする「Tor Browser」を使って、指定されたページにアクセスするように書かれています。Tor Browserを使わせるのは、攻撃者の身元を追跡しづらくするためだと考えられます。Webページのガイダンスに従い、ビットコインで身代金を支払うと解除キーを入手できるようです。

 ですが、この手順を踏まずとも、専用ツールとWebサイトを利用して、解除キーを無料で入手できる方法が既に見つかっています。専用ツールは、「Petya Sector Extractor」という名前で公開されています。これらをどう使って解除キーを入手するかに興味がある方は、筆者のブログで詳しく解説しているので、そちらを参照してください。

▼Petya Sector Extractor
この専用ツールは、海外のエンジニアによって作られた。入手に金銭は必要ない。JigSawDecrypterも同様。
▼筆者のブログ
「(n)inja csirt」(http://csirt.ninja/)で公開している「ランサムウエア「Petya」によってアクセスできなくなったドライブ修復手順メモ」(http://csirt.ninja/?p=466)を参照。