身代金は、一般的な迷惑行為です。ランサムウェアは、お客様のコンピュータに感染し、その解除のために支払いを要求するものです。支払いをしてもファイルが保護されないケースもあります。個人的な写真、音楽、映画、美術品などは破棄されます。ランサムウェアの感染は増え続けており、残念ながらまだピークには達していませんが、その複雑さは増しています。

ただし、特筆すべき例外があります。セキュリティ研究者がランサムウェアの暗号を解読し、垂涎の復号化ツールを作成した例もある。このような事象は稀であり、通常は悪意のあるボットネットが停止した際に発生します。しかし、すべてのランサムウェアが、私たちが考えるほど巧妙なものではありません。

攻撃の解剖学

ランサムウェアは、一般的なマルウェアの亜種とは異なり、できるだけ長く潜伏しようとします。これは、個人ファイルを暗号化するための時間を確保するためです。ランサムウェアは、ユーザーが利用できるシステムリソースを最大限に確保するために設計されており、アラームを発生させるために設計されているわけではありません。そのため、多くのユーザーにとって、ランサムウェアに感染した最初の兆候は、何が起こったかを説明する暗号化後のメッセージです。

他のマルウェアと比較して、ランサムウェアの感染プロセスは非常に予測しやすいものです。ユーザーは、ランサムウェアのペイロードを含む感染したファイルをダウンロードすることになります。感染したファイルを実行しても、すぐには何も起こりません（感染の種類によって異なります）。ユーザーは、ランサムウェアが個人ファイルを暗号化し始めたことに気づかないままです。

このほかにも、ランサムウェアの攻撃にはいくつかの異なる行動パターンがあります。

• 明らかな恐喝の記録。
• ホストとコントロールサーバー間のバックグラウンドデータ転送。
• ファイルのエントロピーが変化します。

ドキュメントエントロピ

ファイルエントロピーは、ランサムウェアによって暗号化されたファイルを特定するために使用できます。Internet Storm Centerで執筆しているrob VandenBrinkが、ファイルエントロピーとランサムウェアの概要を説明しています。

IT業界では、ファイルのエントロピーは、クロード・シャノンにちなんで「シャノン・エントロピー」と呼ばれる特定のランダム性の尺度を指します。この値は、基本的には、先行する文字に基づいて、ファイル内の特定の文字の予測可能性を示す尺度である（詳細と計算はこちら）。言い換えれば、ファイル内のデータの「ランダム性」を表す指標で、1～8のスケールで測定され、一般的なテキストファイルは低い値を示し、暗号化ファイルや圧縮ファイルは高い値を示すことになります。

とても面白いので、原文を読むことをお勧めします。

通常の」マルウェアとは違うのでしょうか？

ランサムウェアとマルウェアの共通の目標は、「隠れること」です。すぐに発見されれば、ユーザーは感染に対抗する機会を得ることができます。魔法の言葉は "暗号化"。ランサムウェアは暗号化を使用することで有名ですが、マルウェアでは以前から暗号化が使用されています。

暗号化は、シグネチャコードの検出を難解にすることで、マルウェアがアンチウィルス・プログラムの監視の目をくぐり抜けるのを助ける。防衛壁を警告するために認識できる文字列を見るのではなく、知らず知らずのうちに過去に感染してしまうのです。アンチウィルスソフトは、これらの文字列（しばしばハッシュと呼ばれる）に気づくことができるようになってきているが、多くのマルウェア開発者にとって、この文字列に対処することは重要ではない。

一般的なファジー処理方法

ぼかしの方法としては、以下のようなものが一般的です。

• 検出 - マルウェアの亜種の多くは、仮想化環境で使用されているかどうかを検出することができます。これにより、マルウェアは実行や解凍を拒否するだけで、セキュリティ研究者の注意を回避することができます。その結果、最新のセキュリティ署名の作成ができなくなる。
• タイミング - 最高のアンチウィルス・スイートは、常に新しい脅威を警告し、チェックします。残念ながら、一般的なアンチウイルスプログラムは、常にシステムのあらゆる面を保護することはできません。例えば、マルウェアの中には、システムが再起動され、アンチウイルス操作によってエスケープされた後でのみ展開するものがあります（その過程で無効化される可能性もあります）。
• 通信 - マルウェアは、コマンド＆コントロール（C&C）サーバを呼び出して指示を得ます。すべてのマルウェアがこのようなことをするわけではありません。しかし、そのような場合、アンチウイルスプログラムは、C&Cサーバーをホストしていることが知られている特定のIPアドレスを発見し、通信をブロックしようとすることができます。この場合、マルウェア開発者は、C&Cサーバのアドレスを変更するだけで、検知を回避することができます。
• 偽のアクション - 精巧な偽のプログラムは、マルウェア感染の最も一般的な通知の1つでしょう。疑うことを知らないユーザーは、これがオペレーティングシステム（通常はWindows）の日常的な部分であると信じ、画面上の指示に喜んで従います。これらは特に未熟なPCユーザーにとって危険であり、フレンドリーなフロントエンドとして機能する一方で、多数の悪意ある存在がシステムにアクセスすることを許してしまう。

このリストは完全なものではありませんが、マルウェアがコンピュータに潜伏する最も一般的な方法をいくつか取り上げています。

ランサムウェアは簡単か？

シンプルという言葉は間違っているかもしれません。ランサムウェアは違います。ランサムウェアの亜種は、その敵対者、より広く、異なる方法で暗号化を使用します。ランサムウェアに感染するという行為は説得力がありますが、同時に**ランサムウェアは怖いものだという雰囲気も醸し出しています。

ランサムウェアは、次のような新しい機能を使用します。

• 大量の文書を暗号化する
• 通常、ユーザーがバックアップから復元できるようにするボリュームシャドウのコピーを削除します。
• リモートのC&Cサーバーに暗号鍵を作成し、保存する。
• 身代金は、通常、追跡不可能なビットコインで要求されます。

従来のマルウェアがユーザーの認証情報やパスワードを盗む「だけ」であるのに対し、ランサムウェアはユーザーに直接影響を与え、インスタントコンピューティング環境を混乱させます。そして、それは非常に直感的な結果をもたらします。

ランサムウェアの手口：マスターファイル一覧

ランサムウェアの "すごい!この要因は、確かに暗号化を使っていることにあります。Lastline Labsの共同創業者でチーフアーキテクトのengkirdaは、そうは考えていないようです。彼と彼のチーム（Kirdaの博士課程の学生の一人であるAmin kharazの研究を利用）は、15のランサムウェアファミリーから1,359のサンプルを分析し、巨大なランサムウェア研究を完了しました。彼らの解析では、削除のメカニズムが検討され、興味深い結果が得られている。

削除の仕組みはどうなっているのですか？データセットに含まれる最も一般的な5つのランサムウェアファミリーのうち、約36%がファイルを削除していました。お金を払わないと、実はファイルが削除されていたんです。実は、削除のほとんどは、ごく簡単なものだったのです。プロはどうするかというと、データを復元するのが難しいようにディスクを消去することを目指します。ディスクの上に書き込んで、そのファイルをディスクから消してしまうのです。しかし、そのほとんどはもちろん怠け者で、マスターファイル表の項目を直接操作して削除マークをつけていたのだが、データはディスク上に残っていた。

削除されたデータは、多くの場合、完全に復元することができます。

ランサムウェアの手口：デスクトップ環境

また、ランサムウェアの典型的な挙動として、デスクトップがロックされることがあります。このタイプの攻撃は、より基本的なバリエーションが存在する。ランサムウェアは、実際にファイルの暗号化や削除を開始するのではなく、デスクトップをロックし、ユーザーをマシンから強制的に退出させます。ほとんどのユーザーは、ファイルが消えて（暗号化されるか完全に削除される）、まったく復元できないことを意味すると考えています。

ランサムウェアの手口：強制メッセージ

ランサムウェアの感染は、身代金のメモを表示することで知られています。通常、ファイルを安全に返却するために料金を支払うようユーザーに要求します。これに加えて、ランサムウェアの開発者は、特定のシステム機能を無効にしながら、ユーザーを特定のウェブページに送り込みます - ページ/画像を取り除くことができないように。これは、ロックされたデスクトップ環境に似ています。これは、ユーザーのファイルが暗号化されたり、削除されたりしたことを意味するものではありません。

先に考え、後に払う

ランサムウェアに感染すると、壊滅的な被害を受ける可能性があります。それは間違いありません。しかし、ランサムウェアにやられたからといって、データが永遠に消えてしまうわけではありません。ランサムウェアの開発者は、素晴らしいプログラマーばかりではありません。目先の経済的利益を得るための簡単な方法があれば、それを取るだろう。セキュリティの知識では、直接的かつ直接的な脅威のために、一部のユーザーが支払うことになること。これは全く理解できることです。

ランサムウェアの対策としては、定期的にファイルをネットワーク外のドライブにバックアップする、アンチウイルスソフトやインターネットブラウザを最新の状態に保つ、フィッシングメールに注意する、インターネットからファイルを賢くダウンロードする、などが挙げられますが、これらに限定されるものではありません。

画像引用元：andras_csontos via Shutterstock.com ウェブサイト