Windows 10アップデートを装うランサムウェア

本レポートは、アンラボコリアより発表された内容を翻訳したものです。

----------------------------------------------------------------------------------------------

7月29日にリリースされたMicrosoft社(以下MS)の最後のWindows OSであるWindows 10のアップデートファイルを装うランサムウェアがEメールを通じて流布されている。

[図 1] ランサムウェアが添付されたメール本文 (出所 : Cisco Blogs)

攻撃者は、「スキャン結果、マルウェアは見つかりませんでした。」というメッセージ(※図 1を参照)をメール本文に付けることで、ユーザーが疑うことなく添付ファイルをダウンロード・実行するように誘導した。

また、添付ファイルのアイコンがWindowsロゴ(※図 2を参照)であるため、普段からセキュリティに気を遣っているユーザーでない限り、添付ファイルを実行してしまう可能性が非常に高い。

[図 2] Windows 10アップデートファイルを装うランサムウェア

添付ファイルを実行すると、ランサムウェアが実行され、ユーザーシステム内のファイルが暗号化される。

実行されたランサムウェアは、＜C:\DOCUME~1\[ユーザーアカウント]\LOCALS~1\Temp\＞に、ファイル名 「lrxjxii.exe」で自ら複製し、レジストリを通じてサービスに登録され、システムが起動するたびに実行される。

[図 3] ランサムウェアに感染した際のデスクトップ画面

ランサムウェアは、システム内のファイルを暗号化した後、ファイルの復号化に関する案内メッセージをデスクトップ上に表示する。(※図 3を参照) 

今回の事例に利用された攻撃手法は、マルウェアの流布方法の巧妙化、そして最も大きい脆弱性は「人」ということを改めて感じさせてくれる。

Eメールに添付されたランサムウェアのダウンロード・実行の有無を判断するのはユーザーであり、ランサムウェアへの感染はユーザーのセキュリティ意識の低さによるものである。

これこそが、「メールに添付されたファイルを不用意にダウンロード・実行してはならない」と多くのセキュリティ専門家が何度も強調する理由である。

セキュリティ対策ソフトウェアのみですべての攻撃を防御できない現実のなかで、最低限のセキュリティ知識と意識を持つことが、マルウェアによる攻撃からユーザーを守る最高の対策である。

※ AhnLabのV3製品群では、以下の診断名で「Windows 10アップデートを装うランサムウェア」を検知できる。

ー　Trojan/Win32.CTBLocker (2015.08.03.03)