ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB17004:ランサムウェア

-仮想体験デモ(3)-

更新日:2017年02月08日

ランサムウェア (Ransomware) は、パソコンをロックしたり、パソコン内のファイルを人質にとったりする不正プログラムの総称です。 ただ、ランサムウェアという用語を知っていても、実際パソコン内でどのようなことが起きるのかあまり実感がわかない方も多いかと思います。 そこで、HIRT-PUB17004 では、2016年末に報告された日本語メールでのランサムウェア拡散事例について紹介したいと思います。

1. ランサムウェア拡散事例

2016年末に報告された事例は、マルウェアに感染しているので、除去ツールをダウンロードし、マルウェアを除去するよう促すメールが流れたというものです。 メールに添付されていたファイルは、「マルウェア (VAWTRAK) 除去ツール .zip 」「 VIRUS REMOVAL TOOL.zip 」というような除去ツールを思わせる名称ですが、ファイルの実態は、パソコン内のファイルを人質にとったりする不正プログラムであるランサムウェアでした。


MISCHA

MISCHA は、2016年 5月に確認されたランサムウェアです。 2016年10月末に、「【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起および除去ツールの配布について」というメール件名で配布されました。


STAMPADO

STAMPADO は、2016年 7月に存在が確認されたランサムウェアです。 2016年11月上旬に、「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起および除去ツールの配布について」というメール件名で配布されました。


2. 仮想体験デモ

仮想体験デモは、ボタン操作 (デモ開始、始めに戻るなど) の可能な Flash ファイルのムービーです。 デモを開始することにより、実際のウイルス感染活動が発生するわけではありませんので、ランサムウェアの動きについて体験してみてください。


MISCHA

仮想体験デモは、メールで指示されていたサイトからダウンロードしたファイル「 Malware(VAWTRAK)Removal Tool.zip 」から除去ツールを取り出した後、実行してしまったというシナリオで構成しています。 今回仮想体験デモで実行した MISCHA は、途中でコンピュータへの変更の許可を求めるダイアログを表示します。 ここで、管理者のパスワードを入力して「変更を許可する」を選択してしまうと、ハードディスクを暗号化し始めます。その結果、OS が立ち上がらない状態となってしまいます。 また、「変更を許可しない」を選択した場合には、ファイルを暗号化し始めるというものでした。


STAMPADO

仮想体験デモは、メールで指示されていたサイトからダウンロードしたファイル「 VIRUS REMOVAL TOOL.zip 」から除去ツールを取り出した後、実行してしまったというシナリオで構成しています。 今回仮想体験デモで実行した STAMPADO は、ファイルを暗号化した後、「期限が 4 日 (96 時間) で、6 時間毎に1ファイルを削除するという」警告ダイアログを表示します。 また、期限が過ぎると、警告ダイアログは消え、暗号化されたファイルの復元ができなくなるというものでした。


Adobe Flash Playerのダウンロード
Flash形式のファイルをご覧になるには、Adobe Systems Incorporated(アドビシステムズ社)のAdobe Flash Playerが必要です。

本仮想体験デモは、総務省実証事業「サイバー攻撃解析・防御モデル実践演習の実証実験の請負」の成果の一部です。

3. 関連情報

4. 更新履歴

2017年2月8日
  • このページを新規作成および公開しました。

担当:寺田、大西/HIRT