Petya/NotPetya ランサムウェアはデータを削除するか？mething different

Petna/NotPetya、IT の専門家に一層の謎を掛ける

WannaCry の攻撃の後と同じく、世の人々は Petya/ExPetr/NotPetya による攻撃から回復する方法も探さねばなりません。前者のウィルスに比べてその攻撃は小規模であると言われていたものの、実際にはより厳しい結果となっています。サイバー・セキュリティの専門家が WannaCry のデクリプタをすぐに作成したわけですが、NotPetya のユーザーにはそのようなチャンスが手に入りそうにありません。

新たに見つかった事実

6 月 27 日、世界は Petya の別バージョンと思われるマルウェアによる攻撃を受けました。詳しい分析の結果、以下が分かっています:

• 別名 NotPetya/Petya.A/Petrwrap などと呼ばれるこのマルウェアは、Petya の亜種ではあるものの、全く異なるソース・コードで上書きされていることが判明
• ウィルスが Windows OS の代わりに読み込まれる
• 同じ脆弱性を標的にしている
• 身代金として 300 USD を要求する
• 感染した PC に ID を割り当てない

ソース・コードは完全に異なるかもしれませんが、一方でこのウィルスは元の Petya と同じような動きをします。ブート設定を改ざんし、Windows の代わりにマルウェアが読み込まれるようにするのです。

さらに、最近のレポートでは、どうやらこのマルウェアは被害者のファイルを完全に削除してしまうようだと報告されていました 。しかし、すぐさまこの推測が否定されました。より正確に言いますと、このマルウェアは実際にはランサムウェアというよりはサイバー攻撃であることが分かったのです。Petya や最新版のその亜種のいずれも、C&C サーバーとやり取りすることはありません。

だからこそ、このウィルスは被害を受けた端末に特定の識別コードを割り当てないのです 。つまり、そのような情報がないため、被害者は自分のファイルに合う復号キーを受け取ることができないのです。さらに言えば、NotPetya の主要メール・ドメインの 1 つが停止されていることから、その被害者はお金を払うことを考えるべきではないのです。

感染源はウクライナに存在

この仮想の脅威は世界中の数多くの国際企業に感染しましたが、何と言ってもウクライナを狙っていることが明らかに分かります。最近になって、この国はサイバー犯罪者たちに頻繁に狙われています。

とはいえ、報告では驚くべき結果が報告されています。NotPetya/Petna/Petya.A のソースが、ウクライナのデジタル会計ソフトウェアの開発企業である M.E. Doc にあるというのです。IT の専門家の主張によると、サイバー犯罪者が同社の PC システムに侵入し、更新ネットワークに感染した証拠があるということです 。

そこで、親会社により発行された更新をインストールした全てのパートナー企業が、直ちに感染することになったのです。
新たに発見された特長により、このマルウェアがサイバー世界における大規模な反ウクライナの政治的キャンペーンの最高潮にあった可能性が指摘されています。WannaCry が脚光を浴びた直後に、XData マルウェアが前者の脅威よりも大きなダメージを与えたことに留意してください。

その出現以来、驚くべき事実が明らかになってきましたが、より分析が進んでさらに興味深い事実が明らかになるだけでなく、この感染を完全にへし折る方法についてヒントが得られることに期待したいところです。