ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用

PCの再起動後に表示される身代金要求の画面

　新種のランサムウエア「Bad Rabbit」について、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）や、セキュリティベンダーのトレンドマイクロ株式会社、Kasperskyなどが注意を喚起している。

　Bad Rabbitは、ロシアやウクライナなどを中心に感染が拡大しているランサムウェア。これらの国では、公共交通機関やメディア、政府機関に影響が出ていると報道されている。JPCERT/CCによれば、ランサムウェアのドロッパーがダウンロードされた国には、日本も含まれるとのことだ。

　感染が拡大し始めたのは現地時間の10月24日で、当初は6月に感染を拡大した「Petya」（別名GoldenEye）の亜種と考えられていた。しかし、トレンドマイクロによれば、感染経路は脆弱性を悪用するPetyaと異なり、改ざんされて不正なコードが埋め込まれたウェブサイトだという。

　Kasperskyの研究者によれば、こうしたウェブサイトからのドライブバイダウンロード攻撃により、Adobe Flashのインストーラーを偽装した「install_flash_player.exe」をダウンロードさせ、ランサムウェアの実行ファイルを生成する。

　トレンドマイクロによれば、ランサムウェアにはオープンソースのユーティリティツール「Mimikatz」が含まれており、これによる総当たり攻撃によって資格情報の窃取を行うほか、ディスク暗号化ツール「DiskCryptor」を用いて2048ビットの公開鍵により、ファイルの暗号化を行う。

　Kasperskyによれば、感染するとデータを暗号化し、復号のために仮想通貨ビットコインで0.05BTCの支払いを要求するという。

　Kasperskyの研究者によるコード解析では、ファイル名や変数名に、人気テレビドラマシリーズ「ゲーム・オブ・スローンズ」のキャラクター名を使用されていることが判明したという。なお、このランサムウェアには欠陥があり、「install_flash_player.exe」の実行後に生成される「C:windowsinfpub.dat」と「C:Windowscscc.dat」の実行をあらかじめブロックしておくことで、ランサムウェアの感染を防止できるとのことだ。

　なお、各社のセキュリティ対策ソフトでは、すでにBad Rabbitの検知が可能となっている。