\r\n\r\n
身代金は、一般的な迷惑行為です。ランサムウェアは、お客様のコンピュータに感染し、その解除のために支払いを要求するものです。支払いをしてもファイルが保護されないケースもあります。個人的な写真、音楽、映画、美術品などは破棄されます。ランサムウェアの感染は増え続けており、残念ながらまだピークには達していませんが、その複雑さは増しています。
ただし、特筆すべき例外があります。セキュリティ研究者がランサムウェアの暗号を解読し、垂涎の復号化ツールを作成した例もある。このような事象は稀であり、通常は悪意のあるボットネットが停止した際に発生します。しかし、すべてのランサムウェアが、私たちが考えるほど巧妙なものではありません。
ランサムウェアは、一般的なマルウェアの亜種とは異なり、できるだけ長く潜伏しようとします。これは、個人ファイルを暗号化するための時間を確保するためです。ランサムウェアは、ユーザーが利用できるシステムリソースを最大限に確保するために設計されており、アラームを発生させるために設計されているわけではありません。そのため、多くのユーザーにとって、ランサムウェアに感染した最初の兆候は、何が起こったかを説明する暗号化後のメッセージです。
他のマルウェアと比較して、ランサムウェアの感染プロセスは非常に予測しやすいものです。ユーザーは、ランサムウェアのペイロードを含む感染したファイルをダウンロードすることになります。感染したファイルを実行しても、すぐには何も起こりません(感染の種類によって異なります)。ユーザーは、ランサムウェアが個人ファイルを暗号化し始めたことに気づかないままです。
このほかにも、ランサムウェアの攻撃にはいくつかの異なる行動パターンがあります。
ファイルエントロピーは、ランサムウェアによって暗号化されたファイルを特定するために使用できます。Internet Storm Centerで執筆しているrob VandenBrinkが、ファイルエントロピーとランサムウェアの概要を説明しています。
IT業界では、ファイルのエントロピーは、クロード・シャノンにちなんで「シャノン・エントロピー」と呼ばれる特定のランダム性の尺度を指します。この値は、基本的には、先行する文字に基づいて、ファイル内の特定の文字の予測可能性を示す尺度である(詳細と計算はこちら)。言い換えれば、ファイル内のデータの「ランダム性」を表す指標で、1~8のスケールで測定され、一般的なテキストファイルは低い値を示し、暗号化ファイルや圧縮ファイルは高い値を示すことになります。
とても面白いので、原文を読むことをお勧めします。
ランサムウェアとマルウェアの共通の目標は、「隠れること」です。すぐに発見されれば、ユーザーは感染に対抗する機会を得ることができます。魔法の言葉は "暗号化"。ランサムウェアは暗号化を使用することで有名ですが、マルウェアでは以前から暗号化が使用されています。
暗号化は、シグネチャコードの検出を難解にすることで、マルウェアがアンチウィルス・プログラムの監視の目をくぐり抜けるのを助ける。防衛壁を警告するために認識できる文字列を見るのではなく、知らず知らずのうちに過去に感染してしまうのです。アンチウィルスソフトは、これらの文字列(しばしばハッシュと呼ばれる)に気づくことができるようになってきているが、多くのマルウェア開発者にとって、この文字列に対処することは重要ではない。
ぼかしの方法としては、以下のようなものが一般的です。
このリストは完全なものではありませんが、マルウェアがコンピュータに潜伏する最も一般的な方法をいくつか取り上げています。
シンプルという言葉は間違っているかもしれません。ランサムウェアは違います。ランサムウェアの亜種は、その敵対者、より広く、異なる方法で暗号化を使用します。ランサムウェアに感染するという行為は説得力がありますが、同時に**ランサムウェアは怖いものだという雰囲気も醸し出しています。
ランサムウェアは、次のような新しい機能を使用します。
従来のマルウェアがユーザーの認証情報やパスワードを盗む「だけ」であるのに対し、ランサムウェアはユーザーに直接影響を与え、インスタントコンピューティング環境を混乱させます。そして、それは非常に直感的な結果をもたらします。
ランサムウェアの "すごい!この要因は、確かに暗号化を使っていることにあります。Lastline Labsの共同創業者でチーフアーキテクトのengkirdaは、そうは考えていないようです。彼と彼のチーム(Kirdaの博士課程の学生の一人であるAmin kharazの研究を利用)は、15のランサムウェアファミリーから1,359のサンプルを分析し、巨大なランサムウェア研究を完了しました。彼らの解析では、削除のメカニズムが検討され、興味深い結果が得られている。
削除の仕組みはどうなっているのですか?データセットに含まれる最も一般的な5つのランサムウェアファミリーのうち、約36%がファイルを削除していました。お金を払わないと、実はファイルが削除されていたんです。実は、削除のほとんどは、ごく簡単なものだったのです。プロはどうするかというと、データを復元するのが難しいようにディスクを消去することを目指します。ディスクの上に書き込んで、そのファイルをディスクから消してしまうのです。しかし、そのほとんどはもちろん怠け者で、マスターファイル表の項目を直接操作して削除マークをつけていたのだが、データはディスク上に残っていた。
削除されたデータは、多くの場合、完全に復元することができます。
また、ランサムウェアの典型的な挙動として、デスクトップがロックされることがあります。このタイプの攻撃は、より基本的なバリエーションが存在する。ランサムウェアは、実際にファイルの暗号化や削除を開始するのではなく、デスクトップをロックし、ユーザーをマシンから強制的に退出させます。ほとんどのユーザーは、ファイルが消えて(暗号化されるか完全に削除される)、まったく復元できないことを意味すると考えています。
ランサムウェアの感染は、身代金のメモを表示することで知られています。通常、ファイルを安全に返却するために料金を支払うようユーザーに要求します。これに加えて、ランサムウェアの開発者は、特定のシステム機能を無効にしながら、ユーザーを特定のウェブページに送り込みます - ページ/画像を取り除くことができないように。これは、ロックされたデスクトップ環境に似ています。これは、ユーザーのファイルが暗号化されたり、削除されたりしたことを意味するものではありません。
ランサムウェアに感染すると、壊滅的な被害を受ける可能性があります。それは間違いありません。しかし、ランサムウェアにやられたからといって、データが永遠に消えてしまうわけではありません。ランサムウェアの開発者は、素晴らしいプログラマーばかりではありません。目先の経済的利益を得るための簡単な方法があれば、それを取るだろう。セキュリティの知識では、直接的かつ直接的な脅威のために、一部のユーザーが支払うことになること。これは全く理解できることです。
ランサムウェアの対策としては、定期的にファイルをネットワーク外のドライブにバックアップする、アンチウイルスソフトやインターネットブラウザを最新の状態に保つ、フィッシングメールに注意する、インターネットからファイルを賢くダウンロードする、などが挙げられますが、これらに限定されるものではありません。
画像引用元:andras_csontos via Shutterstock.com ウェブサイト