仮想通貨 Monero での身代金支払いを要求する
ランサムウェア「Kirk」と復号プログラム「Spock」

2017.04.06

スタートレックのファンであれば、惑星連邦の邪悪なバージョンであるミラーユニバースにカーク船長たちが転送されてしまうというオリジナルシリーズのエピソードを覚えているかもしれません。「Mirror Mirror(リンク先:英語)」というタイトルのこのエピソードの最後で事態の収拾にあたるのは、そのミラーユニバース側のスポック(リンク先:英語)です。


最近 Kirk という名前のランサムウェアが発見されましたが、その作成者はこのエピソードが頭にあったのだろうと想像できます。SophosLabs の脅威研究者 Dorka Palotay によれば、この新しいランサムウェアが出現したのは数日前のことです。


これまでのところ、2 つのサンプルしか確認されていませんが、その特徴は注目に値します。


暗号化の方法


最初のサンプルはスタートレックをテーマにしたもので、暗号化されたファイルは拡張子が .kirked に変更されます。身代金を要求するメモには、身代金を支払えば Spock という名前の復号化プログラムをファイルを提供すると書かれています。


Kirk ランサムウェアは Python で記述されており、ファイルの暗号化には AES を使用し、AES 鍵の暗号化には RSA を使用するという通常の暗号化方法が用いられてます。暗号化された AES 鍵は、pwd というファイルに保存されます。このファイルがなければ復号化は不可能です。




Kirk ランサムウェアは、自身が Low Orbit Ion Cannon (LOIC) プログラムであり、オープンソースのネットワークストレステスト用アプリケーションだと主張するメッセージボックスを表示します。その後、600 種類以上のファイルを暗号化します。


2 番目のサンプルは、「Lick」という名前の Kirk ランサムウェアの亜種です。Lick ランサムウェアについて Palotay は次のように述べています。


動作は前のサンプルと非常によく似ていますが、暗号化したファイルに拡張子 .Licked を追加し、暗号鍵を pastebin.com に送信し、復号プログラムのふりをする点が異なります。


通貨「ラチナム」の代わりとなる Monero


*通貨「ラチナム」(リンク先:英語)

SophosLabs がこれまでに確認したものとは異なり、このランサムウェアファミリは身代金の支払いに Monero を使用します。Monero はビットコインに似た暗号通貨で、サイバー犯罪者の間ではすでに広く使用されています。スタートレックのフェレンギ人が使用していた通貨ラチナムの現代版と言えるかもしれません。


SophosLabs の研究者 Attila Marosi は昨年、犯罪者が Monera のマイニングに使用している Mal/Miner-C マルウェア(リンク先:英語)についての論文を発表しました。


SophosLabs では、このランサムウェアは Troj/Ransom-EJN として検出されます。



ユーザーが自衛するには


現時点で確認されている Kirk ランサムウェアはわずかですが、Naked Security が定期的にお伝えしているランサムウェアなどのマルウェアによる攻撃を防止する (およびその影響から復元する) ためのアドバイスを再認識するよい機会かもしれません。


役立つリンクをいくつかご紹介します。




Techknow ポッドキャスト Dealing with Ransomware (ランサムウェア対策) (英語):


今すぐ再生


(オーディオプレーヤーが動作しない場合は、Soundcloud でお聞きいただくか、iTunes からアクセスしてください。)

おすすめの記事はこちら