ビットコインランサムウェア「LOCKY」が安徽省に上陸

3月24日午前、銅陵市公安局サイバーセキュリティ大隊は市内の企業の従業員から、自分のコンピューター内の文書などのファイルが「ロック」という接尾辞の付いたファイルに暗号化され、内容を見ることができないとの報告を受けた。コンピュータ インターフェイスには、指定された方法で支払いを行った後にのみコードのロックを解除できることが表示されます。

公安局サイバーセキュリティ旅団の副旅団長である戴華氏によると、このコンピューター内の文書は「Lockyランサムウェア」と呼ばれる悪意のあるソフトウェアによって暗号化されていたという。分析の結果、これはスパムを通じて拡散されるランサムウェアの一種であることが判明しました。これは中国語のプロンプトを備えた初のビットコインランサムウェアでもあり、犯罪グループが中国のユーザーをターゲットにし始めたことを示しています。

ハッカーは悪意のある Word 文書を添付した電子メールを被害者のメールボックスに送信します。 Word 文書には、ハッカーが慎重に作成した悪意のあるマクロ コードが含まれています。被害者が Word 文書を開いてマクロ コードを実行すると、ホストは指定された Web サーバーにアクティブに接続し、Locky マルウェアをローカルの Temp ディレクトリにダウンロードして強制的に実行します。 Locky の悪意のあるコードが読み込まれて実行されると、ハッカーの C&C サーバーに積極的に接続し、ローカル情報をアップロードし、暗号化された公開キーをダウンロードします。

悪意のあるコード実行の重要なステップは、マクロ コードを手動でアクティブ化することです。 doc ファイルを Word 2003 で開いてマクロ コードを実行できます。 Office 2007 以降では、マクロ コードを実行できるかどうかについて、サフィックス名に厳しい要件があります。 Office 2007 以降でも悪意のあるコードを実行できるようにするには、ユーザーによる手動のアクティブ化が必要です。したがって、悪意のあるコードは、ユーザーが「マクロを有効にする」をクリックした場合にのみ実行されます。

ランサムウェア「Locky」は攻撃者に莫大な利益をもたらす可能性があります。取引にビットコインを使用するため、追跡が困難です。ユーザーがランサムウェアに感染すると、復号化のために料金を支払うか、ファイルを破棄することしかできなくなります。身代金を支払ったとしても、暗号化されたファイルが完全に復元される保証は必ずしもありません。

戴華副隊長によると、今年このタイプのランサムウェアマルウェアに遭遇したのはこれが初めてであり、このタイプの攻撃は銅陵市の企業に襲来し、主に電子メール内の悪意のある文書を通じて被害者のコンピュータに侵入していることを示している。現在、暗号化されたファイルの復元は困難であることが業界では一般的に認識されています。ランサムウェアに対処するには、依然として予防が主なアプローチです。重要なファイルを定期的にバックアップし、見慣れない電子メールや添付ファイルに注意し、マクロ コードを含む Office ファイルを開くときは特に注意してください。マクロが信頼できるものであることを確認した後にのみ、マクロを有効にしてください。 （戴華、呉斌、劉海泉記者）