NEWS

ニュース | 最新のニュースをお届けします

シェイプシフター型ランサムウェア「Virlock」への対応について

この記事をシェア

この記事は、マルウェアやセキュリティに関して、
キヤノンITソリューションズ株式会社から発信する情報です。


ESETセキュリティ製品をご利用いただき、誠にありがとうございます。

2014年12月、ランサムウェアについてモニタリングを行っていたESETのウイルスラボは、ランサムウェア「Virlock」の存在を確認しました。シェイプシフターとは、一般ではいろいろな姿に変身する妖怪のことを現していますが、今回確認されたランサムウェアは、シェイプシフターのような特徴を持っていることが分かりました。

この「Virlock」は自在変化する特徴から、ランサムウェアだけではなくファイル感染型ウイルス、さらにポリモーフィック型ウイルスの特徴を持ち、その時々の場面によって変身することができるよう複数の機能を有します。


現在ランサムウェアは、大別すると「画面ロック型ランサムウェア」と「ファイル暗号化型ランサムウェア」の2つに分けられています。
「画面ロック型ランサムウェア」は、パソコンの画面操作をロックするタイプで、「ファイル暗号化型ランサムウェア」は、ファイルを暗号化してユーザーが読み取れないようにするタイプです。どちらも元に戻す代償としてユーザーに金銭を要求します。

※「ランサムウェア」についてはこちら

また、画面ロック型とファイル暗号化型のそれぞれの機能を併せ持つランサムウェアも存在しています。「Android/Simplocker」はAndroidユーザーを標的としたランサムウェアで、上記2つの機能を有していました。

今回発見された「Virlock」は、上記に加えてさらにファイルに感染する機能も有しており、ファイル感染型ウイルスとしての活動もします。加えてこれがポリモーフィック型ウイルスであることも判明しました。

※ポリモーフィック型ウイルス:自身を暗号化する上、復号鍵を毎回変えることでウイルス対策ソフトからの検出を逃れようとするウイルス。


「Virlock」はファイルに感染すると、それを実行ファイルに改変します。そして自身を暗号化して、改変した実行ファイルに寄生します。この実行ファイルが実行される毎に、「Virlock」は復号化されて動作します。この振る舞いは、これまでのランサムウェアには無かった特徴と言えます。

「Virlock」は2つの特徴的処理を持っています。
1つはパソコン内やリムーバブルメディア、共有フォルダーなど保存先を探して更なる感染拡大を図るための処理が働きます。
もう1つの処理は、画面ロック型ランサムウェアとして機能する処理です。
以下の図1は金銭を要求している画面で、この例ではビットコイン(仮想通貨)が要求されています。

画面ロック型ランサムウェアとしての「Virlock」

図1:画面ロック型ランサムウェアとしての「Virlock」


以下の図2は「Virlock」のポリモーフィック型ウイルスとしての機能を図示したものです。

ポリモーフィック型ウイルスとしての「Virlock」

図2:ポリモーフィック型ウイルスとしての「Virlock」

メモリーにロードされた時点では、「Virlock」は復号機能の部分を除いて全て暗号化されています。復号されると「Virlock」のコード本体が現れますが、この時点でもコード内の関数1つ1つは暗号化されています。関数が呼び出される際にその関数のみが復号化されますが、処理が終わるとその関数は再び暗号化されます。これはウイルス解析されることを避けるために組み込まれたものと思われます。

このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2014年11月22日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。。

ウイルス定義データベース:10761 (20141121)

Win32/Virlock.B トロイの木馬
Win32/Virlock.Bの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

 


■ ウイルスに感染しないための対策について

各記事でご案内しているようなウイルスに感染しないための対策をご案内いたします。
下記の対策を実施してください。

① ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生するウイルスに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

② OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

③ ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

④ データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。
念のため、データのバックアップを行っておいてください。

⑤ 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

ランサムウェアのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!