ランサムウェア(petya)

ランサムウェアと言うと主に、感染したコンピュータ上に保存されているファイルを暗号化し、それを復元するための「復号キー」と引き換えに身代金(ランサム)を要求するというものです。
つまり、他のマルウェアが主に情報の窃取と破壊を目的としているのに対し、ランサムウェアは金銭を目的としている点で大きく異なっています。

攻撃者の良識に依存する形にはなりますが、身代金を支払うことでデータが復旧される限り、ランサムウェアの被害者は身代金を支払うでしょう。逆に、身代金を支払ってもデータが復旧されなければ、誰も身代金を支払わなくなり、金銭を目的とするランサムウェアの意味がなくなってしまいます。

ところが、最近発見された「petya」というランサムウェアは、身代金を支払ってもファイルが復旧されることはありません。つまり、petyaは身代金ではなく、データの破壊が目的であると言えます。

また、従来のランサムウェアは暗号化したファイルの拡張子を独自のものに変更するため、使用者は自分のデータが暗号化されたことに気づくことができます。
ところが、petyaは暗号化したファイルに拡張子を追加しないため、どのファイルが暗号化されたのかに気づかないのです。
とはいえ、例えばWordやExcelで作成されたドキュメントは、そのうち開く機会もあるでしょうから、いつかは暗号化されたことに気づくでしょう。
ただ、システムファイルなどが暗号化された場合、普段アクセスする機会がないため、利用不能になったのかどうか認識できない可能性が高いのです。
加えてpetyaの特徴として、感染した直後ではなく、1時間後に攻撃を開始してシステムを再起動するため、感染者が気づいたときには、すでにそのコンピュータを介して他のコンピュータを攻撃し、感染が拡大している恐れがあります。

さらには、petyaにはOSを起動させるために使用される「マスターブートレコード」を暗号化する機能もあります。この場合コンピュータ全体が機能しなくなります。
さらに、従来のランサムウェアがWindowsのイベントログに痕跡が残るため、どのような形で攻撃を受けたのかを解析することができましたが、petyaはその痕跡を削除する機能を備えているため、攻撃パターンの解析が難しくなっています。

このようにpetyaは従来型のランサムウェアのように、身代金を目的としていると言うよりむしろ、コンピュータのデータ及びシステムの破壊と、さらなる感染の拡大を目的とした新種のランサムウェアであると言えるでしょう。