ブログ

ポケモンGOのWindows版アプリに偽装してファイルを暗号化し人質に取るランサムウェアが確認される

×セキュリティ

「Windows版Pokémon GO(ポケモンGO)」という存在しない偽アプリが開発され、本物のポケモンGOアプリだと勘違いしてインストールした人がランサムウェアに感染、被害者が端末のデータにアクセスできないようにして身代金を脅迫するという事態が報告されています。ポケモンGOランサムウェアは、これまでに報告されてきた一般的なランサムウェアとは異なる挙動をしているとのこと。PokemonGo Ransomware installs Backdoor Account and Spreads to other Driveshttp://www.bleepingcomputer.com/news/security/pokemongo-ransomware-installs-backdoor-accounts-and-spreads-to-other-drives/このランサムウェアは、セキュリティ研究者のMichael Gillespie氏によって発見されたもの。アプリのアイコンはこんな感じです。

被害者のデバイスに感染したランサムウェアは、まず端末をスキャンして以下のような拡張子のファイルが含まれていないかを調べます。

そして、これらのファイルをAESで暗号化し、さらに暗号化されたファイルに「.locked」という拡張子を追加。ユーザーが端末のファイルにアクセスできないようにします。そして作業が完了したら「この端末のデータにアクセスしたければ身代金を払う方法を示すので『[email protected]』まで連絡するように」という内容を表示します。過去に報告されたランサムウェアの多くは、データを暗号化してから削除し、その後に脅迫内容を表示する、という方法を取っていました。しかし、ポケモンGOのランサムウェアはデータを削除せず、暗号化させただけの状態で脅迫内容を表示させているのが通常と異なる点。また、感染するとWindows端末の中にバックドアを作成するのも他と異なるところで、これによってランサムウェアの作成者は後日、再び被害者の端末にアクセスすることが可能となります。以下のような感じで、ポケモンGOのランサムウェアが感染すると、端末のAdministrators グループには「Hack3r」というユーザーアカウントが勝手に追加されます。このとき、Hack3rアカウントはWindowsのログインスクリーンから見えないように隠されるとのこと。

また、ポケモンGOのランサムウェアの独特な点として、被害者のコンピューターにネットワーク共有を作り出すという点が挙げられます。ただし、このネットワーク共有は記事作成時点で活用されておらず、その目的は不明です。

さらに、このポケモンGOランサムウェアは、自分自身の実行ファイルをリムーバルドライブにコピーしようとするとのこと。ランサムウェアが感染したリムーバルドライブの中には「Autorun.inf」というファイルが作られ、他のコンピューターにドライブを接続した瞬間に、別のコンピューターもランサムウェアに感染、というようにして次々に感染範囲を広げていこうとします。そして、外部ドライブからコンピューターのCドライブへとコピーされると、ユーザーがWindowsアカウントにログインしようとした時にPokemonGoランサムウェアが自動的に呼び出されるという仕組みとなっています。今回発見されたポケモンGOのターゲットは、脅迫文章で使われる言語から見てアラブ圏の人々とのこと。以下が脅迫文書で、翻訳すると「あなたのファイルは暗号化されました。暗号化をとくためには『[email protected]』に連絡してください。前もってあなたの寛大さに感謝の意を表しておきます」となります。

そして、最終的に被害者ユーザーがWindowsにログインすると、以下のようなスクリーンセーバーが表示されるようになるとのこと。

ポケモンGOのWindows版アプリに偽装してファイルを暗号化し人質に取るランサムウェアが確認される

AESパスワードの「123vivalalgerie」は「アルジェリア万歳」という意味であること、プログラムの中でアラブとフランスの言語が使われていたこと、スクリーンセーバーのプログラムに書かれている「Sans Titre」はフランス語の「Untitled(無題)」であることなどから、ランサムウェアの開発者はアルジェリア人であると予想されています。また上記のような特徴から、ポケモンGOランサムウェアはまだ「開発中」の段階にあると見られており、どれほどの感染拡大力を持つようになるのかは未知数。今後、ポケモンGO関連のアプリをダウンロード&インストールする際には十分に注意する必要がありそうです。

この記事のタイトルとURLをコピーする

・関連記事大人気の「ポケモンGO(Pokémon GO)」が月額有料制になるというスパムメールが出回る - GIGAZINE世界で初めてポケモンGOが禁止される国が登場 - GIGAZINEポケモンGO開発元・NianticのCEOのTwitterアカウントがハッキングされる - GIGAZINEポケモンGOを外に出ずイスに座ったままプレイ可能になるGPSハッキングムービー - GIGAZINE「ポケモンGO(Pokémon GO)のサーバーをダウンさせる」とハッカー集団が予告、丸1日Pokemon GOがプレイできない可能性も - GIGAZINEポケモンGOがどうやって世界中の至る所にポケモンを出現させているのかがわかる衝撃のムービー - GIGAZINE

・関連コンテンツ

Tweet

in ソフトウェア, セキュリティ, Posted by logq_fa

You can read the machine translated English article here.

ホット記事

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

無料のメールマガジンに登録平日17時にBusiness Insider Japanのメルマガをお届け。利用規約を確認iPhoneのSafariを含め各種ウェブブラウザーから、ウェブサイトをPDFとして保存できる。撮影:今村拓馬Webページは突...

続きを読む 続きを読む
ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

アーカイブ配信の利用方法を解説選手のプレーはもちろん、ユニークな解説などでも注目が集まる東京オリンピック。話題になったのに見逃してしまったり、録画していなかったりした場合でも、あとから好きなタイミング...

続きを読む 続きを読む
Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

富田篤さんが広げる手前のファイルには、保存状態の良い型紙をできるだけ空気に触れさせないよう入れている。デジタル化に備えて、劣化を防ぐためだ=東京都新宿区の富田染工芸で2021年12月10日午前、近藤浩之撮影 ...

続きを読む 続きを読む

関連記事