ポケモンゴー24時

【ポケモンGO】※注意※Win版「ポケモンGO」に偽装し”データを人質に取る”ウイルスが発見されるwwww

2016.08.16 18:13

ポケモンGO

ポケモンGOのWindows版アプリに偽装してファイルを暗号化し人質に取るランサムウェアが確認される

「Windows版Pokémon GO(ポケモンGO)」という存在しない偽アプリが開発され、本物のポケモンGOアプリだと勘違いしてインストールした人がランサムウェアに感染、被害者 が端末のデータにアクセスできないようにして身代金を脅迫するという事態が報告されています。ポケモンGOランサムウェアは、これまでに報告されてきた一 般的なランサムウェアとは異なる挙動をしているとのこと。

このランサムウェアは、セキュリティ研究者のMichael Gillespie氏によって発見されたもの。アプリのアイコンはこんな感じです。

被害者のデバイスに感染したランサムウェアは、まず端末をスキャンして以下のような拡張子のファイルが含まれていないかを調べます。

.txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png

そして、これらのファイルをAESで 暗号化し、さらに暗号化されたファイルに「.locked」という拡張子を追加。ユーザーが端末のファイルにアクセスできないようにします。そして作業が 完了したら「この端末のデータにアクセスしたければ身代金を払う方法を示すので『me.blackhat20152015@mt2015』まで連絡するよ うに」という内容を表示します。

過去に報告されたランサムウェアの多くは、データを暗号化してから削除し、その後に脅迫内容を表示する、という方法を取っていました。しかし、ポケモン GOのランサムウェアはデータを削除せず、暗号化させただけの状態で脅迫内容を表示させているのが通常と異なる点。また、感染するとWindows端末の 中にバックドアを作成するのも他と異なるところで、これによってランサムウェアの作成者は後日、再び被害者の端末にアクセスすることが可能となります。

以下のような感じで、ポケモンGOのランサムウェアが感染すると、端末のAdministrators グループには「Hack3r」というユーザーアカウントが勝手に追加されます。このとき、Hack3rアカウントはWindowsのログインスクリーンか ら見えないように隠されるとのこと。

また、ポケモンGOのランサムウェアの独特な点として、被害者のコンピューターにネットワーク共有を作り出すという点が挙げられます。ただし、このネットワーク共有は記事作成時点で活用されておらず、その目的は不明です。

さらに、このポケモンGOランサムウェアは、自分自身の実行ファイルをリムーバルドライブにコピーしようとするとのこと。ランサムウェアが感染したリムー バルドライブの中には「Autorun.inf」というファイルが作られ、他のコンピューターにドライブを接続した瞬間に、別のコンピューターもランサム ウェアに感染、というようにして次々に感染範囲を広げていこうとします。そして、外部ドライブからコンピューターのCドライブへとコピーされると、ユー ザーがWindowsアカウントにログインしようとした時にPokemonGoランサムウェアが自動的に呼び出されるという仕組みとなっています。

今回発見されたポケモンGOのターゲットは、脅迫文章で使われる言語から見てアラブ圏の人々とのこと。以下が脅迫文書で、翻訳すると「あなたのファイルは 暗号化されました。暗号化をとくためには『me.blackhat20152015@mt2015.com』に連絡してください。前もってあなたの寛大さ に感謝の意を表しておきます」となります。

そして、最終的に被害者ユーザーがWindowsにログインすると、以下のようなスクリーンセーバーが表示されるようになるとのこと。

AESパスワードの「123vivalalgerie」は「アルジェリア万歳」という意味であること、プログラムの中でアラブとフランスの言語が使われて いたこと、スクリーンセーバーのプログラムに書かれている「Sans Titre」はフランス語の「Untitled(無題)」であることなどから、ランサムウェアの開発者はアルジェリア人であると予想されています。また上 記のような特徴から、ポケモンGOランサムウェアはまだ「開発中」の段階にあると見られており、どれほどの感染拡大力を持つようになるのかは未知数。今 後、ポケモンGO関連のアプリをダウンロード&インストールする際には十分に注意する必要がありそうです。

引用元:http://gigazine.net/news/20160816-pokemon-go-ransomware-windows/

<管理人のどうでもいいつぶやき>

データを人質・・・・

これは恐ろしいwww

コメント