Petya/NotPetya ランサムウェアはデータを削除するか?mething different

Petna/NotPetya、IT の専門家に一層の謎を掛ける

WannaCry の攻撃の後と同じく、世の人々は Petya/ExPetr/NotPetya による攻撃から回復する方法も探さねばなりません。前者のウィルスに比べてその攻撃は小規模であると言われていたものの、実際にはより厳しい結果となっています。サイバー・セキュリティの専門家が WannaCry のデクリプタをすぐに作成したわけですが、NotPetya のユーザーにはそのようなチャンスが手に入りそうにありません。

新たに見つかった事実

6 月 27 日、世界は Petya の別バージョンと思われるマルウェアによる攻撃を受けました。詳しい分析の結果、以下が分かっています:

  • 別名 NotPetya/Petya.A/Petrwrap などと呼ばれるこのマルウェアは、Petya の亜種ではあるものの、全く異なるソース・コードで上書きされていることが判明
  • ウィルスが Windows OS の代わりに読み込まれる
  • 同じ脆弱性を標的にしている
  • 身代金として 300 USD を要求する
  • 感染した PC に ID を割り当てない

ソース・コードは完全に異なるかもしれませんが、一方でこのウィルスは元の Petya と同じような動きをします。ブート設定を改ざんし、Windows の代わりにマルウェアが読み込まれるようにするのです。

さらに、最近のレポートでは、どうやらこのマルウェアは被害者のファイルを完全に削除してしまうようだと報告されていました 。しかし、すぐさまこの推測が否定されました。より正確に言いますと、このマルウェアは実際にはランサムウェアというよりはサイバー攻撃であることが分かったのです。Petya や最新版のその亜種のいずれも、C&C サーバーとやり取りすることはありません。

だからこそ、このウィルスは被害を受けた端末に特定の識別コードを割り当てないのです 。つまり、そのような情報がないため、被害者は自分のファイルに合う復号キーを受け取ることができないのです。さらに言えば、NotPetya の主要メール・ドメインの 1 つが停止されていることから、その被害者はお金を払うことを考えるべきではないのです。

感染源はウクライナに存在

この仮想の脅威は世界中の数多くの国際企業に感染しましたが、何と言ってもウクライナを狙っていることが明らかに分かります。最近になって、この国はサイバー犯罪者たちに頻繁に狙われています。

とはいえ、報告では驚くべき結果が報告されています。NotPetya/Petna/Petya.A のソースが、ウクライナのデジタル会計ソフトウェアの開発企業である M.E. Doc にあるというのです。IT の専門家の主張によると、サイバー犯罪者が同社の PC システムに侵入し、更新ネットワークに感染した証拠があるということです 。

そこで、親会社により発行された更新をインストールした全てのパートナー企業が、直ちに感染することになったのです。
新たに発見された特長により、このマルウェアがサイバー世界における大規模な反ウクライナの政治的キャンペーンの最高潮にあった可能性が指摘されています。WannaCry が脚光を浴びた直後に、XData マルウェアが前者の脅威よりも大きなダメージを与えたことに留意してください。

その出現以来、驚くべき事実が明らかになってきましたが、より分析が進んでさらに興味深い事実が明らかになるだけでなく、この感染を完全にへし折る方法についてヒントが得られることに期待したいところです。

著者について
Julie Splinters
Julie Splinters - マルウェア除去スペシャリスト

ジュリー・スプリンタース は Uirusu.jp の新しいエディターです。英語学学士を取得しています。しかし、昔から日本の、特に東日本に興味を持っていたことがモチベーションとなり、東アジアの研究をするようになりました。 この地域の経済や政治、そして社会的な発展についての知識を得るうちに、サイバー世界の運営能力の問題について知識を得ました。特に北朝鮮のサイバー能力が大きなきっかけとなり、Uirusu.jp においてこのポジションにつくこととなりました。 仕事の傍ら、彼女はフリーランスの英露翻訳者としても採用されています。

Julie Splinters に連絡する
Esolutions について

別の言語で読む
ファイル
ソフト
比較