logo
ランサムウェア

新種のランサムウェア「GIBON」が拡散中

Charlie Osborne (CNET News) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)2017年11月07日 10時20分
  • このエントリーをはてなブックマークに追加

 セキュリティ研究者が「GIBON」と呼ぶ新しいランサムウェアが登場した。ただし、その発信源は分かっていない。

 このランサムウェアは、メールセキュリティ企業ProofPointの研究者Matthew Mesa氏が先週発見したもので、不正な電子メールによって拡散されている。

 Lawrence Abrams氏の分析によると、GIBONという名称が付けられた理由は、このマルウェアが指令を受け取るためにコマンド&コントロール(C&C)サーバに接続するときに、GIBONというユーザーエージェント文字列を使用するためだ。また、管理パネルで自分のことを「Encryption Machine GIBON」(暗号化マシンGIBON)と名乗っている。

 このランサムウェアを配布するために作られた電子メールにはマクロが仕込まれており、標的のPCにマルウェアのペイロードをダウンロードして実行する。

 するとGIBONが活動を始め、デバイスを暗号化して身代金を要求するという仕組みだ。

 GIBONは、暗号化作業を開始するとC&Cサーバに接続し、Base64形式のコード化された文字列、タイムスタンプ、標的のPCに搭載されている「Windows」のバージョン、それに「register」(登録)という文字列を送信して、新しい被害者を登録する。

 被害者が登録されると、暗号鍵が生成されてC&Cサーバに送信される。この鍵でPC上のすべてのファイルが暗号化された後、身代金を要求するメッセージがC&Cサーバから表示される。

 GIBONは、Windowsフォルダ以外の場所にあるファイルなら、拡張子の種類に関係なくすべてファイルを暗号化する。

 すべてのファイルを暗号化して「.encrypt」という拡張子を付けると、GIBONは最後にpingをC&Cサーバに送り、「finish」(終了)という文字列、タイムスタンプ、Windowsのバージョン、暗号化したファイルの数を示すレコードを送信する。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集