ランサムウェア「Locky」について

本記事を寄稿するにあたって尽力いただいた SophosLabs の Emerging Threats Team に感謝します。

Locky には、ロッキーという”鍵”という意味を可愛らしく表現しています。

しかし、これは新たなランサムウェアのニックネームでもあります。このように命名された理由は、ユーザーの大切なファイルのすべてに .locky という拡張子を付けるからです。

もちろん、ファイル名を変更するだけではありません。ファイルを暗号化してから名前を変更します。NakedSecurity の読者の方はランサムウェアについてはご存知でしょう。暗号化されたファイルを復号化する鍵を持っているのは、このサイバー犯罪者だけです。

この復号鍵は、いわゆるダークウェブを介してサイバー犯罪者から購入できます。

購入に必要な価格は、BTC 0.5 ~ BTC 1.00 です (BTC は、ビットコインの略字です。現在のビットコインの相場は 400 ドル / 280 ポンドです)。

Locky は通常、次のようにユーザーのコンピュータに侵入します。

  • 添付ファイルが付けられた電子メールを受け取ります (Troj/DocDl-BCF)。
  • どのようなドキュメントかはよくわからないようになっています。
  • ドキュメントを開くときには、データのエンコードが不正であるため、マクロを有効にするように求められます。

  • マクロを有効にすることを選択すると、実際にはテキストのエンコードは変更されず、ファイルをディスクに保存し、ドキュメントに埋め込まれたコードが実行されます。
  • 保存されたファイル (Troj/Ransom-CGX) は、ダウンローダーとして動作し、サイバー犯罪者(が用意したサーバー)から最終的なマルウェアペイロードを取得します。
  • この最終的なペイロードによって、サイバー犯罪者はユーザーのコンピュータであらゆる操��を実行できるようになりますが、通常は Locky ランサムウェアを実行します (Troj/Ransom-CGW)。

Locky は、ビデオ、画像、ソースコード、および Office ファイルなどの拡張子と一致したファイルを暗号化します。

Locky は、ビットコインのウォレットファイル wallet.dat を見つけると、このファイルも暗号化します。

つまり、ユーザーのウォレットに、身代金よりも多くのビットコインがあったとしても、そのウォレットファイルをバックアップしていなければ、結局あらたにビットコインを購入して支払わなければなりません (また、ユーザーはビットコインの購入方法とビットコインでの支払い方法を知らなければなりません。)。

シャドウコピーと呼ばれるボリュームスナップショットサービス (VSS) ファイルをユーザーが作成している場合、Locky はこれらのファイルも削除します。

シャドウコピーは、作業を中断することなくバックアップスナップショットをライブで作成する Windows の機能です。ログアウトしたり、アプリケーションを閉じたりする必要はないため、通常のバックアップ手段の代わりに一般的に多く利用されています。

Locky は、身代金を要求する準備ができたら、デスクトップの壁紙を変更し、ユーザーに次のメッセージを表示します。

警告メッセージにあるダークウェブにアクセスすると、支払い方法に関する操作指示がユーザーに送信されます。

残念ながら、バックアップをしていない限り、データは簡単に復旧できないでしょう。

また、多くのランサムウェアと同じように、Locky が暗号化するのは C: ドライブのファイルだけではありません。

コンピュータからアクセスできるドライブの任意のディレクトリのファイルも暗号化されます。接続されているリムーバブルドライブ、サーバーや別のユーザーのコンピュータにあるアクセス可能なネットワーク共有ドライブのファイルも暗号化される恐れがあります。また、オペレーティングシステムが Windows、OS X または Linuxであっても、影響を受けます。

ドメイン管理者としてログインしているときに、ランサムウェアに攻撃されると、その影響は非常に広範囲におよぶ恐れがあります。

管理者権限でログインしておくと、何かと便利かもしれませんが、被害の大きさを考えるとおすすめできません。

本当に必要な場合にのみ、管理者権限でログインするようにしてください。そして、必要な操作を実行したら、これらの権限で操作することをやめましょう。

対策

  • 定期的にバックアップして、最新のバックアップはオフサイトに保管しておきましょう。火災、洪水、盗難、ノート PC の落下、または偶発的な削除など、ランサムウェアに以外にもファイルを突然失ってしまう原因は多くあります。バックアップを暗号化しておくと、バックアップデバイスが盗まれた場合にもデータが読み取られる心配はありません。
  • 電子メールで受け取ったドキュメントのマクロは有効にしないでください。 Microsoft 社は、セキュリティ対策の一環として数年前から、マクロの自動実行を意図的にデフォルトでオフにしています。多くのマルウェアは、ユーザーを感染させるため、ユーザーにマクロを有効にするように要求します。マクロの実行は、有効にしないようにしてください。
  • 不審なメールの添付ファイルには十分注意してください。 ドキュメントは開くまでその内容がわからない、というユーザーの不安心理をサイバー犯罪者は悪用しています。何か不審な点があると思ったら、添付ファイルは開かないでください。
  • 必要以上の権限でログインした状態にしないようにしてください。 これは、とても大切なことですが、本当に必要な場合以外には管理者としてログインして操作しないようにしてください。Web を閲覧するとき、ドキュメントを開くとき、またその他の通常の業務のときには、管理者権限は不要なはずです。
  • Microsoft Office ビューアーをインストールすることを検討してください。 これらのビューアーアプリケーションを使用すると、Word や Excel で実際にファイルを開かなくても、ファイルの内容を確認できます。ビューアーはマクロに対応していませんので、間違ってマクロを有効にする恐れはありません。
  • いつでも最新のパッチを迅速に適用してください。 ドキュメントのマクロを悪用しないマルウェアは、Office、ブラウザ、Flash などの一般的に利用されているアプリケーションのセキュリティバグを悪用します。パッチを迅速に適用すれば、サイバー犯罪者によって攻撃されるセキュリティホールの数を削減できるのです。