「テストまたはジョーク」と思われるランサムウェア nRansom の対処法

2017.10.11

本記事は SophosLabs の Dorka Palotay による研究調査に基づいています。



「nRansom」という不気味な名前が付けられたこのランサムウェアは、ユーザーのコンピュータをロックし、ビットコインだけでなくヌード写真を送るよう要求してきます。しかし、実際にユーザーが受ける被害と言えば、子供の頃好きだった「きかんしゃトーマス」の思い出が汚されることぐらいです。

nRansom が迷惑なのは確かですが、これはプロの犯罪者の仕業ではありません。



仕組み

Locky(リンク先:英語)WannaCry などのランサムウェアとは異なり、nRansom はファイルを暗号化しません。コンピュータの画面をロックし、ユーザーが要求を飲むまでファイルにアクセスできないようにするスクリーンロッカーです。



Windows マシンが nRansom に感染した場合 (ソフォス製品では Troj/LockScr-U として検出されますが、実環境で広がっているという証拠はありません)、次のような奇妙なメッセージと各フレームの上部に罵り言葉が書かれたトーマスのサムネイルが画面いっぱいに表示されます。



nRansom



テレビドラマ「Curb Your Enthusiasm (ラリーのミッドライフ☆クライシス)」のテーマ曲が流れます。

メッセージの文面は次のとおりです。



nRansom
お使いのコンピュータはロックされました。ロックを解除するには特別なロック解除コードが必要です。protonmail.com にアクセスしてアカウントを作成してください。[省略] 宛てに電子メールを送ってください。すぐには返信しません。返信があったら、あなたのヌード写真を少なくとも 10 枚送信しなければなりません。その後、そのヌード写真が本当にあなたのものであることを確認します。確認されたら、ロック解除コードを渡します。あなたのヌード写真はディープウェブで売買されます。

ロック解除コードを受け取りましたか? ヌード写真は送信しましたか?
では、こちらにあなたのロック解除コードを入力してください



攻撃者によるヌード写真の「確認」が終わると、ロックされた画面を解除するコードが送信されてくるそうですが、そのコードは次のようなものです。

12345.(リンク先:英語)



身代金を払わずにこの問題を解決するには

上記のパスワードは、世界のワーストパスワード (リンク先: 英語) のリストを上から順に見ていくと 5 番目に出てきます。画面に表示される巨大な [Unlock (ロック解除)] ボタンにだまされてはいけません。このボタンを押しても角にある [x] を押しても、何も起きません。





ウィンドウの移動やサイズの変更は可能ですが、そのような操作も実際には不要です。Ctrl+Alt+Delete を押してタスクマネージャーを開き、nRansom を選択して [プロセスの終了] を押すだけで OK です。





前述の通り、これはプロの犯罪者の仕業ではありません。



nRansom は非常に単純で簡単にキルすることができ、「テストかジョーク」だと思われる、と SophosLabs の研究者 Dorka Palotay は説明しています。



過去のスクリーンロック型ランサムウェアとの違い

きかんしゃトーマスのことはさておき、私たちが nRansom に注目したのは、2012 年の Reveton スクリーンロッカーを思い出したからです。Reveton は、警察からの警告を装ってユーザーの PC をロックし、「罰金」を支払えば訴追しない、と脅迫するマルウェアです。

Reveton では犯罪者集団が逮捕されましたが、残念ながら nRansom については捜査当局が本気で取り締まるとは思えません。

対策

本物のランサムウェアの脅威が心配な方は、無料の Windows/Mac 用ソフトウェア Sophos Home をインストールすることをお勧めします。また、ソフォスのホワイトペーパー「ランサムウェアから身を守るには」も併せてお読みください。

上記に加えて、「きかんしゃトーマス」のビデオを観て、無邪気な頃を思い出すのもいいかもしれません。

引用元

おすすめの記事はこちら