by Soumil Kumar

感染したコンピューターのデータを"人質"に取り、身代金を要求してくる「ランサムウェア」はサイバー攻撃による被害の大部分を占めています。そんなランサムウェアの感染が中国で広がっており、身代金をメッセージアプリのWeChat経由で支払わせる被害が続出していると報じられました。

首例“微信赎金”病毒,弹二维码索要110元,腾讯火绒发布“真·解密工具” - 知乎

https://zhuanlan.zhihu.com/p/51368004

MOV AX, BX Code depilation salon: Articles, Code samples, Processor code documentation, Low-level programming, Working with debuggers Ransomware Infects 100K PCs in China, Demands WeChat Payment

https://movaxbx.ru/2018/12/05/ransomware-infects-100k-pcs-in-china-demands-wechat-payment/

中国で流行しているランサムウェアは、感染したコンピューターのローカルファイルを暗号化するだけでなく、さまざまなサイトのログイン情報を盗み出す機能も持っているとのこと。ランサムウェアが感染するとユーザーにメッセージが届き、「ファイルの暗号化を解除したければ、送信したQRコードをスキャンしてWeChatの送金機能で110元(約1800円)を支払え」と要求してきます。



中国のセキュリティ企業である火绒安全の報告によると、この「WeChatランサム」と名付けられたランサムウェアは発見からわずか数日で10万台以上のコンピューターに感染しているそうです。

WeChatランサムについて調査した研究者によると、ランサムウェアの作成者は中国のSNSである「豆瓣」を利用してWeChatランサムを拡散したとのこと。研究者らはマルウェアを分析した後、マルウェアの作成者が感染したコンピューターから抜き取ったデータを格納するために使用していた2台のサーバーにアクセスすることに成功しました。

アクセスできたサーバーのうち1台から、ショッピングサイトの淘宝網と決済サービス大手であるAlipayのパスワードが合計2万件も発見されました。これ以外のサービスのログイン情報もマルウェアのターゲットになっており、天猫やAlipayといったサービスのログイン情報も収集されていたとのこと。



インターネットサービス大手のテンセントが発表した情報によると、メッセージアプリであるテンセントQQの複数アカウントを管理するアプリを介しても、WeChatランサムは拡大しています。その後の調査から、この他にも少なくとも50以上のアプリケーションを通してWeChatランサムは広められているそうです。被害者の大部分はコンピューターにセキュリティソフトウェアをインストールしていないため、2018年12月1日にWeChatランサムの情報が周知されてからも感染は拡大している模様。

一方でセキュリティ企業はWeChatランサムが大きな脅威になるとは見ていません。「一定の期日までに身代金を支払わなければファイルの暗号化を解除する鍵を削除する」と脅しているものの、全ての解除鍵はWeChatランサム自体にハードコードされているため、身代金を支払わなくてもファイルの回復は可能だとのこと。すでにいくつかのセキュリティ企業はWeChatランサムによって暗号化されたファイルの回復ツールを利用できる状態にしています。

また、火绒安全の専門家はすでにWeChatランサムの作成者につながる情報は特定済みだとしています。作成者の名前・携帯電話番号・QQアカウント・メールアドレスも発見されており、警察が犯人に到達するのは時間の問題だとのこと。問題のWeChatアカウントが発覚した時点でテンセントは犯人のQRコードを削除し、支払いアカウントも閉鎖したと報じられています。



by WeissenbachPR