パロアルトネットワークスの脅威インテリジェンスアナリスト、ブラッド・ダンカン氏は、PC ユーザーのファイルを暗号化するのにインターネット トラフィックを必要とせず、コマンド アンド コントロール サーバーに接続してもトラフィックを生成しないランサムウェア ファミリーの Spora が、偽の「Chrome フォント パック」ポップアップを通じて拡散していることを発見しました。
ユーザーを騙してSporaランサムウェアをダウンロードさせる
ランサムウェアの多くは、スパムメールやメールの添付ファイル、あるいはハッキングされた広告ネットワークやウェブサイトを通じて拡散します。攻撃者はこのようにして、インターネットユーザーに何かをクリックさせ、ランサムウェアをダウンロード・インストールさせます。
場合によっては、ユーザーのブラウザやオペレーティング システムが最新でない場合、パッチが適用されていないソフトウェアの脆弱性を悪用して、ランサムウェアが自動的にダウンロードまたはインストールされることもあります。
Sporaの作成者は、既知の未修正のサーバー側の脆弱性を悪用する自動スクリプトを介して複数のウェブサイトをハッキングした可能性が高い。彼らはこれらのスクリプトを利用してアクセスし、自身のファイルをサーバー上に配置している。
その後、ウェブサイトのページを意味不明な文字に変え、訪問者に「HoeflerText」フォントが見つからないこと、そして「Chrome Font Pack」と称するものをダウンロードすれば修正できると伝えます。
Sporaランサムウェアのインストール
ポップアップをクリックした際に、誤ってランサムウェアをダウンロード・インストールしてしまい、ファイルがロックされてしまうことがあります。インストールは自動ではないため、マルウェアのインストール処理を実行する「update.exe」ファイルを誘導してインストールさせる必要があります。しかし、偽のChromeフォントパックをダウンロードした場合、そのファイルもインストールされる可能性が高くなります。Sporaの作成者は、被害者がインストール用のファイルを見つけられる場所を示すことで、ユーザーへの「配慮」も行っています。
ドライブ全体を暗号化する傾向がある他のランサムウェア ファミリとは異なり、Spora は次の拡張子を持つファイルのみを暗号化するようです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
.xls、.doc、.xlsx、.docx、.rtf、.odt、.pdf、.psd、.dwg、.cdr、.cd、.mdb、.1cd、.dbf、.sqlite、.accdb、.jpg、.jpeg、.tiff、.zip、.rar、.7z、.backup
その後、PC ユーザーには、ファイルが暗号化されたことを知らせるメッセージが表示され、身代金の支払額を確認するには Spora Web サイトにログインする必要があることが通知されます。
いつものことですが、ウェブ上で何かのインストールを促すポップアップを目にしても、クリックすべきではありません。ポップアップで警告されている問題が実際に存在する場合(例えば、Flashプラグインが見つからないなど)、ポップアップからではなく、自分で調べて、必要なファイルを元のソースからインストールする方が賢明です。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
