PETYA

改良型ランサムウェア

通常の今までのランサムウェアは、パソコンで実行されると、ファイルの拡張子を書き換えて使えなくするのみでした。
しかし今回発見されたPETYAは、ファイルを書き換えて金銭を要求するのみならず、パソコンをブルースクリーンにして、再起動時に身代金の要求メッセージを出します。

通常はパソコンを起動すると、OSを起動するためにまずはWindowsのロゴ画面が表示されます。
しかしPETYAに感染すると、パソコンを起動すると、最初に赤の背景に白のAAでドクロマークが表示されます。

マスターブートレコードを上書きし、さらにはオンラインストレージサービスを経由し、身代金を要求し、Dropboxが利用されます。
オンラインストレージやクラウドサービスが、ウイルスソフトに悪用されるのは初めてではありませんが、ランサムウェアで利用したのはPETYAが初めてです。

・感染経路

感染経路は通常のランサムウェアと変わらず、スパムメールの不正なURL、または改ざんされたwebなどになります。

スパムメールの場合は、ビジネス関連のメールに偽装されています。
企業の職務応募者からの送信と偽装し、メールには履歴書をダウンロードするために、オンラインストレージへのURLが記載されています。
そしてURL先には履歴書に偽装したファイルと、応募者の顔写真のファイルの2つがあります。

もちろんこれらは履歴書にはまったく関係なく、クリックして実行すると、すぐにPETYAがインストールされて、ハードディスクの中身を上書きし、Windowsはクラッシュします。
パソコンを再起動すると、ドクロマークが表示され、ビットコインでの支払いが要求されます。

上書きされたパソコンはセーフモードで起動できないようにされており、もしも感染した場合は、クリーンインストールしか方法はなくなります。

感染予防方法

感染を予防する方法は、スパムメールは無闇に開かないということです。
今回のPETYAでは添付ファイルはないので、メールのみを開いても感染はしませんが、記載のURLにアクセスし、実行ファイルをクリックすると感染します。
このために、スパムメールは、メーラーのフィルターでブロックしておくべきです。

さらには改ざんされたwebや公式サイトを装った似たようなドメインを使用しているような、妖しいサイトにもアクセスしないようにすべきです。
もしもソフトウェアをダウンロードするならば、公式サイトからか、信頼できる大手サイトからのみダウンロードすべきです。

PETYAは一度感染すると、ハードディスクの中身を上書きし起動できなくしますので、復旧するには大変であり、とても困難です。