拡張子によるクリプトランサムウェア

クリプト(暗号化)ランサムウェアは、ランサムウェアウイルスに分類されます。特定のランサム(身代金)を要求するのとは別に、ファイルを暗号化する能力を持っているウイルスです。なのでこの種のウイルスはクリプトマルウェアまたはクリプトウイルスとも呼ばれます。ランサムは暗号化されたデータの復号のために要求されます。これは一般的にはBitcoin(ビットコイン)のような匿名の暗号通貨を使って送金される仕組みです。暗号メカニズムに組み込まれた暗号プログラムによって暗号化されると、データファイルはロックされ判読不可能になります。なのでクリプトウイルスはクリプトロッカーまたはファイルロッカーとも呼ばれることもあります。これらは犠牲となったユーザーがコンピュータにアクセスできないようにするスクリーンロッカーとして働いたり、または単純にデスクトップの背景をランサムメモの画像に変更することがあります。クリプトマルウェアは、巨大企業に属するコンピュータネットワークだけでなく、個々のユーザーもターゲットにして開発されています。この種のサイバー脅威は最も危険なウイルスに分類されています。開発者は一般的に精巧なデータ暗号メカニズムを採用していて、それらはその分野で最も経験豊富なエンジニアによってさらに保護されいる可能性があるからです。その結果、サイバー犯罪者たちは大きな利益を上げることができます。

ほとんどのクリプトロッカーは、暗号化されたファイルに追加される特定のファイル名拡張子によって識別することができます。通常は元々のファイル名と拡張子の後に付け加えられる拡張子がそれです。これらの拡張子はシンプルで、短めの文字の組み合わせであったり、単純なフレーズや単語を唱えるものであったりします。よくあるのはクリプトプログラムの名前に由来するタイトルを有していることです。しかしこのような悪質拡張子の中には、問い合わせ用Eメールや感染源のIDナンバー、BTC(ビットコイン)の支払い先アドレス、ランサムメモのストリングなどを含んでいる場合もあります。

しかしながら、全てのクリプトマルウェアが暗号化したファイルに追加される特定の拡張子を使うよう設計されているわけではありません。最も成功したクリプトウイルスの栄光を追うことにより、コピーされた拡張子を目的のファイルに追加して、他のクリプトウイルスの感染を偽るようなファイル暗号プログラムを開発するクリプトランサムウェアのコーダーもいます。また特定種類のファイルをターゲットにするのではなく、デスクトップそのものを暗号化してロックしてしまうクリプトロッカーも存在します。他にも、破損したデータがタイトルを見ただけでは識別できないようにするため、暗号化したファイルの名前を変えないファイル暗号化アプリケーションもあります。したがって、拡張子の追加の有無は一般的なランサムウェア感染においては価値ある指標となり得ますが、クリプトランサムウェア感染にける唯一のサインとして認識するべきではありません。

1月 30, 2017 18:39