2012年4月13日掲載

株式会社Doctor Web Pacific

Doctor Webは、ロシア以外の国（ドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリア）においてTrojan.Encoderプログラムによる感染件数が著しく増加していることについて報告します。このタイプのマルウェアはハードディスク上に保存されたファイルを暗号化し、それらを復元する為にお金を支払うよう被害者に要求します。

エンコーダトロイの木馬はロシアのWindowsユーザーの間ではよく知られています。2011年1月にTrojan.Encoder.94の最初の亜種が広く拡散し、ブロッカートロイの木馬と並んで、ランサムウェアの中で特別な位置を占めるようになりました。エンコーダは感染させたシステム内にあるユーザーのファイル、特にMicrosoft Officeドキュメント・音楽・写真・画像・ディスク上のアーカイブを探し、それらを暗号化します。犯罪者は、ファイルを元に戻すために一定の金額を支払うようユーザーに要求します。

このようなトロイの木馬に悩まされてきたのは、長い間、ロシアおよびCIS諸国のユーザーのみでした。ところが数日前、Trojan.Encoder.94の3つの新たな亜種がヨーロッパ諸国で発見されました。このトロイの木馬の製作者は、まずロシアとその周辺諸国のみを標的とし、その後、突然国際市場に躍り出るというWinlockトロイの木馬の手法をなぞっているものと考えられます。

このトロイの木馬のインターフェースは英語ですが、感染はドイツ、イタリア、スペイン、イギリス、ポーランド、オーストリア、ノルウェー、ブルガリアなどで起こっています。ロシア国外でのTrojan.Encoder.94による最初の被害者からの問い合わせは2012年4月9日～10日に発生しました。

ユーザーのファイルが暗号化されると、Ukash または Paysafecard経由での50ユーロ・ポンドの支払いを要求するメッセージが表示されます。英語のインターフェースを持ったこのトロイの木馬の3つのバージョンがDoctor Webによって発見されていますが、暗号化キーが異なるのみで、その動作に違いは見られませんでした。

Trojan.Encoder.94がユーザーのコンピューターに侵入するメカニズムは未だ完全には解明されていませんが、犯罪者はトロイの木馬ダウンローダーを使用し、既知の脆弱性を悪用しているものと思われます。Doctor Webのアナリストはこの問題の調査を続けています。

Trojan.Encoder.94による感染の被害を最小限に食い止める為、必要なファイルを全てバックアップしておくことを推奨します。万一ファイルが感染してしまった場合にデータの損失を防ぐための手順を以下に記載します。

• OSを再インストールしないでください
• ハードドライブ上にあるファイルを削除しないでください
• 暗号化されたデータをご自身で復元しようとしないこと
• Doctor Webテクニカルサポートに連絡する。 ファイルを送信する際に「修復依頼」を選択してください。このサービスは無料です。
• トロイの木馬によって暗号化されたdoc ファイルまたは. txtファイルをチケットに添付する。
• ウイルスアナリストからの返答をお待ちください。大量のリクエストが寄せられるため、時間がかかる場合があります。