データを勝手に暗号化する「ランサムウェア」、危険度の高い新種が発生

　株式会社Kaspersky Labs Japanは3日、「ランサムウェア」型ウイルスの新種2種が発見されたと発表した。感染するとPC上のデータが消失する可能性もあるため、注意を呼びかけている。なお、カスペルスキーのウイルス対策製品で最新版定義ファイルを適用していれば、今回のウイルスからは完全に保護されるとしている。

　ランサムウェアは、ユーザーのデータに対して承諾なしの暗号化などを行い、その復元に対して金銭を要求する悪質なソフトウェア。今回発見された新種の1つは、2004年に検知された「GpCode」と呼ばれるウイルスの亜種。Kaspersky Labsでは「Trojan-Ransom.Win32.GpCode.ax」と呼称、11月29日付でデータベース登録している。

　同ウイルスは、Adobe Reader、Java、Quicktime Player、Flashなどの脆弱性を利用し、ウェブサイト経由で感染先を広げる。その上でユーザーのPCに保存されたdoc、docx、txt、pdf、xls、jpg、mp3、zip、avi、mdb、rar、psdなどのファイルを勝手に暗号化してしまう。従来のGpCodeと違って、ファイル暗号化後にデータ削除ではなく上書きするため、リカバリーソフトでの復元が困難という。暗号化アルゴリズムには強力なRSA-1024およびAES-256が用いられている。

　Kaspersky LabsではGpCodeの新たな亜種についても調査を進めており、感染時に消失したデータのリカバリー方法などを確認中だ。

　もう1つの新種ウイルスは、ハードディスクのマスターブートレコード（MBR）に感染するランサムウェア。「Ransom.Win32.Seftad.a」および「Trojan-Ransom.Boot.Seftad.a」の2種から構成され、感染すると、MBRを初期化するためのパスワードに対して、金銭の支払いを求める。3回入力ミスすると、PCが再起動して再び金銭支払いについてのウインドウが表示される。

　Kaspersky Labsでは、使用中のソフトウェアを定期的に更新し、脆弱性を解決しておくことを強く勧めている。