ニュース

「PUBG」の1時間プレイを強要するランサムウェアを4月に確認、要求に従っても正常に復号できるとは限らず~キヤノンITS調査

PUBG Ransomwareの脅迫画面

 キヤノンITソリューションズ株式会社(キヤノンITS)が公開した4月の日本国内マルウェア検出レポートによると、身代金の代わりにバトルロイヤルゲーム「PLAYERUNKOWN'S BATTLEGROUNDS」(以下PUBG)で遊ぶことを強要するランサムウェア「PUBG Ransomware」が確認されていることが分かった。レポートは、同社のウイルス対策ソフト「ESETセキュリティソフトウェアシリーズ」で4月1日~30日に検出されたデータをもとに分析したもの。

 PUBG Ransomwareは、感染するとデスクトップのファイルを暗号化し、ファイル名の拡張子を「.PUBG」に変更するもの。通常、ランサムウェアはファイルの復号化の条件として仮想通貨などの金銭を求めてくるが、今回発見されたランサムウェアは、PUBGを1時間プレイすることを要求してくるのが特徴。

 ただし、実際はPUBGを1時間遊ぶ必要はなく、ゲームの実行プログラム「TslGame.exe」を3秒以上起動している場合、暗号化されたファイルは復号されるという。

ゲームが起動しているかを確認する処理
ファイルが復号された際の画面(赤枠は復号されたファイルの一覧)

 また、別の方法として、画面に表示された回復コード“s2acxx56a2sae5fjh5k2gb5s2e”を「RESTORE CODE」テキストボックスに入力することでも、復号できるという。

回復コードの入力処理

 このランサムウェアは、実行可能な形式を保ったまま圧縮するパック処理やコードの難読化処理が行われておらず、回復コードを入力するだけでファイルを復号できることから、冗談目的に作成されたものと見られる。しかし、ほかのランサムウェアと同様に、画像や音楽、ドキュメントなどのデータが暗号化されることに変わりはなく、正常に復号されないケースも確認されていることから注意が必要だ。また、キヤノンITSによると、ほかの攻撃者がコードを流用して亜種などの作成に悪用する可能性も考えられるとしている。