スポンサーリンク
ゲームのデータを人質に身代金を要求するマルウェアが発見される
ゲームの機能をアンロックするために課金したことがある人も多いと思いますが、既に利用できる機能やセーブデータを「人質」にして身代金を要求してくるランサムウェアが新たに発見されました。
Achievement Locked: New Crypto-Ransomware Pwns Video Gamers | Bromium Labs
http://labs.bromium.com/2015/03/12/achievement-locked-new-crypto-ransomware-pwns-video-gamers/
新たに発見されたランサムウェアは、オンラインフォーラムのBleeping Computer上の書き込みからその存在が公になったもので、「TeslaCrypt」と呼ばれています。このランサムウェアにより20種類以上のゲームが脅威にさらされていることが明らかになっています。
TeslaCryptは、いくつかのウェブサイトのリダイレクト先からインターネット上にばらまかれているとのこと。典型的な「iframe」の代わりに、目に見えない「div」タグで囲んだFlashムービーを使用しており、サイトやブログを閲覧するだけで実行ファイルを強制的に送り込むというWebアプリ「Angler Exploit Kit」にアクセスさせることで、TeslaCryptは一般ユーザーのPC内にインストールされます。
このFlashムービーは「ExternalInterface」を利用して動作しており、Internet ExplorerとOperaをターゲットにしたものであったそうです。
セキュリティ企業のBromiumが調査した際には、複数の仮想マシンと実行ファイルやDLLファイル内のリソースを表示するための「res://プロトコル」などを使ったとのこと。最新のものは「CVE-2015-0311」となっており、古いものでは「CVE-2013-2551」というものも発見されています。
TeslaCryptは「CryptoLocker」と似た仕組みを持っていますが、詳細はほとんど異なるそうです。TeslaCryptに感染してしまったユーザーは、PC内のゲーム関連データを暗号化されてしまい、これらを利用したい場合はTorドメインにあるウェブサイト上から身代金を支払うように要求されることになります。TeslaCryptのターゲットとなるファイルの拡張子は180種類以上で、これまでに検知されてきたランサムウェアの中でもかなり多くのファイルを人質にとるタイプのものとのこと。
実際にTeslaCryptのターゲットとなるデータの種類は以下の通り。
データを暗号化されてしまうと、PC上に以下のような表示が現れ、身代金を要求してきます。
TeslaCryptが暗号化するデータは、簡単に分類すればゲーム上のユーザーのプロフィールやセーブデータ、マップ、Modなどです。
実際にTeslaCryptのターゲットとなる可能性のあるゲームタイトルとソフトウェアの一覧は以下のようなもの。
・Call of Duty
・Star Craft 2
・Diablo
・Fallout 3
・Minecraft
・ハーフライフ2
・Dragon Age:Origins
・The Elder Scrolls
・Skyrim
・Star Wars: Knights of the Old Republic
・Warcraft III
・F.E.A.R.
・Saints Row 2
・メトロ2033
・アサシン クリード
・S.T.A.L.K.E.R.
・バイオハザード4
・BIOSHOCK 2
・World of Warcraft
・Day Z
・League of Legends
・World of Tanks
・Metin2
その他、EAスポーツやValve、Bethsoftなどが開発したゲームの特定ファイルや、PCゲームのダウンロード販売を行う「Steam」、ゲーム開発ソフトの「RPGツクール」「Unity3D」「Unreal Engine」のデータも暗号化のターゲットとなる可能性があります。なお、ほとんどの場合でゲームを再インストールしても人質に取られてしまったデータを修復することはできない、とのことです。
TeslaCryptによるデータの暗号化にはOpenSSLが使われており、コード内には巨大数や楕円曲線暗号の使用を示す形跡も見つかっているとのこと。これはビットコインアドレスを自動生成するためのソフトウェアで使われるもので、これによりTeslaCryptはそれぞれ個別のビットコインアドレスを持ちます。
最初にIPアドレス表示サービスの「ipinfo.io」で感染者のIPアドレスをチェックし、Torネットワーク上のサーバーから接続。次に「ping」リクエストをサーバーに送信して、ファイルを暗号化します。
暗号化のメカニズムとしては、システム上の論理ドライブを全て列挙し、フォルダツリー内のファイルのうち、特定のファイル拡張子のデータのみ暗号化していくそうです。各ファイルの暗号を解除するための「解除キー」はランダムに生成されるもので、暗号化されたデータは「(ファイル名).ecc」とリネームされます。
Bromiumのアナリストは「多くの若者がPCを使用していますが、PC上には革新的なソースコードなどが保存されている人よりは、Steamアカウントにいくつかのゲームを保持していたり、iTunesアカウントに全ての音楽データを保持していたりする人の方が圧倒的に多いので、ゲーマーをターゲットにするのは合理的かもしれない」と述べています。
なお、TeslaCryptへの対抗策としては、データをバックアップしてオフライン上に保管しておくことが挙げられています。
Achievement Locked: New Crypto-Ransomware Pwns Video Gamers | Bromium Labs
http://labs.bromium.com/2015/03/12/achievement-locked-new-crypto-ransomware-pwns-video-gamers/
新たに発見されたランサムウェアは、オンラインフォーラムのBleeping Computer上の書き込みからその存在が公になったもので、「TeslaCrypt」と呼ばれています。このランサムウェアにより20種類以上のゲームが脅威にさらされていることが明らかになっています。
TeslaCryptは、いくつかのウェブサイトのリダイレクト先からインターネット上にばらまかれているとのこと。典型的な「iframe」の代わりに、目に見えない「div」タグで囲んだFlashムービーを使用しており、サイトやブログを閲覧するだけで実行ファイルを強制的に送り込むというWebアプリ「Angler Exploit Kit」にアクセスさせることで、TeslaCryptは一般ユーザーのPC内にインストールされます。
このFlashムービーは「ExternalInterface」を利用して動作しており、Internet ExplorerとOperaをターゲットにしたものであったそうです。
セキュリティ企業のBromiumが調査した際には、複数の仮想マシンと実行ファイルやDLLファイル内のリソースを表示するための「res://プロトコル」などを使ったとのこと。最新のものは「CVE-2015-0311」となっており、古いものでは「CVE-2013-2551」というものも発見されています。
TeslaCryptは「CryptoLocker」と似た仕組みを持っていますが、詳細はほとんど異なるそうです。TeslaCryptに感染してしまったユーザーは、PC内のゲーム関連データを暗号化されてしまい、これらを利用したい場合はTorドメインにあるウェブサイト上から身代金を支払うように要求されることになります。TeslaCryptのターゲットとなるファイルの拡張子は180種類以上で、これまでに検知されてきたランサムウェアの中でもかなり多くのファイルを人質にとるタイプのものとのこと。
実際にTeslaCryptのターゲットとなるデータの種類は以下の通り。
データを暗号化されてしまうと、PC上に以下のような表示が現れ、身代金を要求してきます。
TeslaCryptが暗号化するデータは、簡単に分類すればゲーム上のユーザーのプロフィールやセーブデータ、マップ、Modなどです。
実際にTeslaCryptのターゲットとなる可能性のあるゲームタイトルとソフトウェアの一覧は以下のようなもの。
・Call of Duty
・Star Craft 2
・Diablo
・Fallout 3
・Minecraft
・ハーフライフ2
・Dragon Age:Origins
・The Elder Scrolls
・Skyrim
・Star Wars: Knights of the Old Republic
・Warcraft III
・F.E.A.R.
・Saints Row 2
・メトロ2033
・アサシン クリード
・S.T.A.L.K.E.R.
・バイオハザード4
・BIOSHOCK 2
・World of Warcraft
・Day Z
・League of Legends
・World of Tanks
・Metin2
その他、EAスポーツやValve、Bethsoftなどが開発したゲームの特定ファイルや、PCゲームのダウンロード販売を行う「Steam」、ゲーム開発ソフトの「RPGツクール」「Unity3D」「Unreal Engine」のデータも暗号化のターゲットとなる可能性があります。なお、ほとんどの場合でゲームを再インストールしても人質に取られてしまったデータを修復することはできない、とのことです。
TeslaCryptによるデータの暗号化にはOpenSSLが使われており、コード内には巨大数や楕円曲線暗号の使用を示す形跡も見つかっているとのこと。これはビットコインアドレスを自動生成するためのソフトウェアで使われるもので、これによりTeslaCryptはそれぞれ個別のビットコインアドレスを持ちます。
最初にIPアドレス表示サービスの「ipinfo.io」で感染者のIPアドレスをチェックし、Torネットワーク上のサーバーから接続。次に「ping」リクエストをサーバーに送信して、ファイルを暗号化します。
暗号化のメカニズムとしては、システム上の論理ドライブを全て列挙し、フォルダツリー内のファイルのうち、特定のファイル拡張子のデータのみ暗号化していくそうです。各ファイルの暗号を解除するための「解除キー」はランダムに生成されるもので、暗号化されたデータは「(ファイル名).ecc」とリネームされます。
Bromiumのアナリストは「多くの若者がPCを使用していますが、PC上には革新的なソースコードなどが保存されている人よりは、Steamアカウントにいくつかのゲームを保持していたり、iTunesアカウントに全ての音楽データを保持していたりする人の方が圧倒的に多いので、ゲーマーをターゲットにするのは合理的かもしれない」と述べています。
なお、TeslaCryptへの対抗策としては、データをバックアップしてオフライン上に保管しておくことが挙げられています。
【モバイル市場】中古◆docomo◇SC-02E◆ドコモ◇格安◆白ロム入荷!
◇◆モバイル市場WEBサイト◆◇
◇◆click here◆◇
◇◆買取・無料査定いたします◆◇
ドコモ NEXT series GALAXY Note II SC-02E サムスン製
商品情報
■ 色 : Marble White
■ 状 態 : 中古・白ロム。クリーニング・データ削除済み。
■ 製造年月 : 2013年 1月
■ 製造番号 : 353919052269028
ネットワーク利用制限の確認 ○:利用できます、利用制限の可能性はありません。
製品詳細
画像の本体(電池パック込み)・箱・イヤホン・クイックスタートガイド・フリップカバー・おまけのプロテクトカバー付きの出品になります。
正常動作(ボタン操作)確認済み。データ削除済み。
水没反応なし。充電キャップ等の破損なし。
Xi・miniUIM対応。
モバイル市場
モバイル市場 社長のブログ
モバイル市場 住吉店