トレンドマイクロ、Windows PowerShellの機能を悪用したランサムウェアを確認
Microsoft が開発したWindows PowerShellの機能を悪用したランサムウェアを確認し、トレンドマイクロが注意を呼びかけている。同社によると、今回検出されたのはTROJ_POSHCODER.Aで、PowerShell を利用するためスクリプト系不正プログラムと言われ、ランサムウェアとしては一般的ではない。この不正プログラムは標準的な暗号技術のAdvanced Encryption Standard(AES)を利用してファイルを暗号化し、公開鍵暗号のRSA4096を利用してAES鍵を送信する。
感染PC上でファイルが暗号化されると、公開鍵「RSA4096」を利用してファイルを暗号化、ロックした旨の画面が表示され、ファイル復元のためにはTor Browserをダウンロードして記載されたWebサイトにアクセスするよう求める。指示に従うと12時間以内に復号化ツールが送られるが、10日後にはサーバ内の暗号キーが削除され、私有鍵が削除されると二度と復元できないと脅迫している。ユーザが指示に従うとBitcoinのクライアントソフト「Multibit」をインストールして1ビットコインの購入を求める画面が表示される。ユーザがビットコインを購入するとメールアドレスやBTCアドレスなどの入力を求められ、のちに悪用される。POSHCODERファミリは現在英語版のみで確認されているため米国での被害が主となっているが、ランサムウェア自身が改良されていることが判明し、注意を呼びかけている。
