ニュース

仮想通貨身代金要求の新種ランサムウェアAnatova、マカフィーが報告

欧米各国で検出、一般アプリに偽装しファイルを暗号化

(Image: Shutterstock)

 米マカフィーは1月22日、新種のランサムウェア「Anatova」を発見したことを公式ブログで報告した。25日にはマカフィー株式会社によって日本語訳版が公開された。Anatovaは一般的なアプリケーションに偽装して、Windows PCからネットワークに侵入し、PC内部および共有上の機密ファイルを暗号化する。それらの複合化と引き換えに身代金を要求するという。

 発見・分析をしたMcAfee Labsによると、Anatovaは感染したPCからユーザー名や稼働中のプロセスを分析。「steam.exe」、「sqlserver.exe」といった広く利用されるアプリケーションに偽装する。PC内部と共有ネットワーク上の標的ファイルを探し、次々に暗号化していくという。標的ファイルはOSの動作に影響を及ぼさないよう巧妙に識別され、より多数のファイルを迅速に攻撃(暗号化)するために1MB未満のファイルが対象となるという。

Anatovaによる身代金要求の一例(プレスリリースより引用、以下同)

 Anatovaは標的ファイルの暗号化を終えると、暗号化したファイルの複合化と引き換えに、仮想通貨DASHによる10DASH(日本円にして7.6万円相当)の身代金要求を行う。この金額は他のランサムウェアと比べて非常に高価であるという。また、身代金要求の時点でディスクのバックアップを破壊するため、攻撃を受けた場合に復元は困難となるだろう。

 マカフィーは、Anatovaはモジュール拡張に対応しているため、潜在的な危険性は高いと評した。検出・解析を防ぐため、攻撃対象を高度に識別する機能を持ち、動作の9割はWindows APIとC言語の標準ライブラリを使用。さらに検体はそれぞれ異なるキーで暗号化されていたという。以上から、高度な技術力に基づいて作成されたものとしている。

Anatovaの国別検出数

 Anatovaは米国、ヨーロッパ各国を中心に世界各地で検出されているという。最初に発見されたのはプライベートのピアツーピア(p2p)ネットワークからであり、その攻撃経路や発生元は判明していないとのこと。対策をとるならば、データのバックアップをネットワークやPCに接続していない環境に置くことで、全データの消失という最悪の自体は免れるだろう。