PR

 セキュリティ企業のシマンテックは2011年1月14日、パソコンやファイルなどを使用不能にして、元に戻したければ金銭を支払うよう“脅迫”するウイルスが相次いでいるとして注意を呼びかけた。

 ユーザーを脅迫するウイルスは、ランサムウエア(ransomware:身代金を要求するソフトウエア)」などと呼ばれる。今回、シマンテックが報告したランサムウエア「Ransomlock.F」は、実行されると(感染すると)パソコンをロックして、使用不能にする。

 同時に、デスクトップの壁紙にアダルト画像を表示して、ユーザーを慌てさせる(図1)。図1中の画像は修正済み。実際には無修正の露骨な画像が表示されるという。

 デスクトップには、パソコンのロックを解除する方法もロシア語で表示される。解除するには、特定のユーザーに400ドルをオンライン送金する必要があると書かれている。送金すると、「アクティベーションコード」が送られ、そのコードを画面中のボックスに入力するばロックを解除できるという。

 アダルト画像に慌てたユーザーは、お金を払ってしまう可能性が高いものの、実際にアクティベーションコードが送られてくるとは限らないとしている。

 そのほか、パソコン中のファイルを暗号化して使用できなくするのも、ランサムウエアの典型的な手口。例えば「GPCoder.G」というランサムウエアは、「RSA」と呼ばれる暗号方式で、パソコン中のファイルを暗号化する。復号するには、ランサムウエアの作者にお金を支払って、鍵情報(キー)を教えてもらう必要がある。

 とはいえ、送金したからといって復号できるとは限らない。このためシマンテックでは、万一に備えて、重要なファイルのバックアップを怠らないよう呼びかけている。

 パソコンが起動できないように、マスターブートレコード(MBR)を書き換えるランサムウエアもある。「Bootlock」と名付けられたランサムウエアは、実行するとMBRを上書き。起動途中にメッセージを表示して、特定のパスワードを入力しなければ、処理が進まないようにする(図2)。

 メッセージには、特定のURLが記載されている。別のパソコンでそのURLにアクセスすると、100ドル支払えば、起動用のパスワードを教えるとするWebサイトに誘導される。

 同サイトには、ランサムウエアによってハードディスク全体が暗号化されたと書かれているが、実際にはMBRを書き換えただけ。このためシマンテックが提供する「ノートンブータブルリカバリツール(Norton Bootable Recovery Tool)」を使えば、パスワードが分からなくても復旧できるという。