「Syrk」と呼ばれる新しいランサムウエアは、ハードドライブにあるファイルを暗号化し、身代金が支払われないと、全てのフォルダを削除する。このマルウエアの基礎となっているのは、2018年12月にウェブ上に登場し、ここ1年で様々なマルウエアの基盤となってきた、オープンソース暗号化プログラム「Hidden-Cry」だ。
Image via Cyren
約2億5000万人のプレイヤーを抱えるオンライン対戦ゲーム「フォートナイト(Fortnite)」のユーザーが、このマルウエアの主な標的となっている。
セキュリティープラットフォームを手掛けるベクトラ(Vectra)のセキュリティー分析部門トップ、クリス・モラルズ(Chris Morales)氏は「ゲーム用マルウエアをランサムウエアと組み合わせることは必然的でした」と語った。「オンラインゲームを通じたソーシャルエンジニアリングが行われるようになってしばらく経ちます。(オンラインゲーム産業は)標的対象としては大規模で、手っ取り早い方法を求めることで知られている産業です。(ゲームを)ハッキングするツールのふりをしたマルウエアは、斬新です。アプリストアによって検証されず、通常のセキュリティーコントロールも無視します。そのため、ゲームのハッキングツールを利用したファイル暗号化は、非常に有効で、実行されやすいです」
Syrkは、フォートナイト用のチート(不正プレイ)アプリのふりをすることで、フォートナイトのユーザーを標的にする。Syrkは、「SydneyFortniteHacks.exe」として表示され、実行されると、ユーザーのハードドライブとUSBドライブにあるファイルを暗号化し始める。仮想通貨で身代金が支払われなければ、アプリは重要なフォルダを次々と削除し始める。
「次にアプリは、下記のディレクトリ下の暗号化されたファイルを削除するために時間指定された手続きを設定し、次の順番で2時間毎にファイルを削除する。%userprofile%\Pictures、%userprofile%\Desktop、そして %userprofile%\Documents」と研究者たちは記した。
幸運なことに、このマルウエアは既知の攻撃ベクトルを基礎としており、簡単に回避できる。被害者は、ドライブ上のいくつかのテキストファイルを探すことで、簡単に解除できる。これらのファイルには、ランサムウエアをシャットダウンするために利用できるパスワードが含まれている。この素晴らしい仕組みのおかげで、多くの人は仮想通貨で大金を支払う必要がなくなるだろう。
OK、なんでもない。このメールはID番号を得るためのファイルをアップロードするために使われているだけだ。価格はC:\\Users\\Default\\AppData\\Local\\Microsoft\\+dp-.txtの内容次第となるはず。
復号用のパスワードはこちら:C:\\Users\\Default\\AppData\\Local\\Microsoft\\-pw+.txt
‘passwordonly’
C:\\Users\\Default\\AppData\\Local\\Microsoft\\+dp-.txt
‘pass : password’
無効が簡単なこともあり、どれほどの被害者が身代金の仮想通貨を支払ったのかは定かではない。
翻訳:山口晶子
編集:町田優太
写真:Image via Shutterstock.
原文:New Crypto-Stealing Ransomware Targets Fortnite Players
