2015年1月21日

株式会社Doctor Web Pacific

Doctor Webは、危険なダウンローダプログラムを含んだ大量のスパム配信についてユーザーの皆様に警告します。このプログラムは感染させたシステム上にTrojan.Encoder.686をダウンロードし、起動させます。現時点では、このトロイの木馬によって暗号化されたファイルを復号化する方法はなく、そのため、このランサムウェアはユーザーにとって危険な脅威となっています。

Trojan.DownLoad3.35539としてDr.Webウイルスデータベースに追加されたこのダウンローダトロイの木馬は、ZIPアーカイブとしてスパムメッセージに添付された形で拡散されていました。そのようなスパムとして、英語、ドイツ語、グルジア語など様々な言語で書かれたメッセージが使用されていることがDoctor Webセキュリティリサーチャーによって明らかになっています。

アーカイブには、通常Windowsスクリーンセーバーの拡張子である.scr の付いたSCRファイルが含まれていますが、これらのファイルは実行ファイルです。Trojan.DownLoad3.35539は起動されるとそのボディからRTFドキュメントを抽出し、ハードドライブ上に保存した後、スクリーン上に表示させます。

また同時に、Trojan.DownLoad3.35539は犯罪者のリモートサーバーとの接続を確立し、暗号化ランサムウェアであるTrojan.Encoder.686（またはCTB-Locker）を含んだアーカイブをダウンロードして展開し、実行ファイルを起動させます。被害者のシステム上にインストールされると、Trojan.Encoder.686はユーザーのファイルを暗号化し、次のようなメッセージを表示させます。

ユーザーは、ファイルを復号化するために96時間以内に金銭を支払うよう要求され、また、支払われない場合はデータが失われると脅されます。続けて、支払いの条件や金額に関する詳細を見るために、TORネットワーク内にあるサイトへと誘導されます。

Trojan.Encoder.686はTORおよびOpenSSLライブラリの暗号化ルーチンを使用しています。また、データの暗号化にはCryptoAPIを使用し、ランダムなデータを生成すると同時に楕円曲線による暗号化を行います。このことが、暗号化されてしまったデータの復号化を困難にしています。

ユーザーの皆様には、未知の送信者から受け取ったメールの添付ファイルを開かないよう十分に注意し、また、重要なデータは定期的にバックアップを取っておくよう推奨します。

Dr.Web Security Spaceバージョン9およびバージョン10は、重要なデータのバックアップを定期的に行う機能を備え、また、暗号化ランサムウェアやその他の脅威からお使いのコンピューターを保護します。

データの損失を防ぐ方法は以下のとおりです：

1. Dr.Web Security Space（バージョン9および10）の設定画面で、Dr.Webにとって未知の脅威からPCを保護するための「予防的保護」が有効になっていることを確認します。

   

2. 「ツール」メニューの「データ損失防止」で、重要なファイルをバックアップするための設定を行います。

   

3. 自動バックアップを実行するためのスケジュールを設定してください。

   

メールに対する十分な警戒に加えて、これらの措置を取ることで、暗号化ランサムウェアを含む最新の脅威からシステムを保護することができます。