12月初旬、新手のランサムウェア「Popcorn Time」が見つかりました。このランサムウェアは、身代金を支払うか、誰か別の2人を感染させて彼らに支払わせるかの選択肢を被害者に提示します。「Popcorn Time」とは、映画やテレビシリーズのストリーミングを行なう正規のアプリケーションです。身代金脅迫文には、7日以内にいずれかの選択肢を選ばなければ、ファイルが永久に失われると記載されています。脅威実行者が被害者に復号キーの提供を持ちかけるケースを確認したのは、これが初めてです。ランサムウェアの拡散方法としては要領が悪いように感じられますが、マルウェアの作成者は、日々確認されている無数の亜種の中で目立つために何でも行ないます。未完成コードの詳細からも、ユーザーが復号キーの入力に4回失敗すると、ランサムウェアがランダムにファイルを削除し始めることが分かっています。この不正ソフトウェアは、正規のPopcorn Timeの正当なコピーであるかのように装います。
初めて発見されたサンプルの標的は、Windowsデスクトップ上のテストフォルダーに限られていましたが、現在このランサムウェアがデスクトップに加え、マイドキュメント、マイピクチャ、そしてマイミュージック上のファイルを暗号化することが判明しています。また、集めたお金はすべてシリアの人々の食料、医薬品、避難所に使用されると感情に訴えかけようとしてきます。マルウェアの作成者が自らの活動を有益であると偽るケースは、ランサムウェアの世界では初めてのことではありません。
これを書いている時点では、このランサムウェアはLockyやCerberなどの目立ったランサムウェアほど急速に拡大はしていないようです。今のところ、北米や東西ヨーロッパで発見されていますが、非常に低い検出率です。また、Popcorn Timeに関連付けられたビットコイン アドレスによると、身代金を支払った人は今のところいないことが示されています。このランサムウェアの更新版が絶えず検出されている理由には、サンプル率の低さと資金を回収できていない点にあるのかもしれません。可能な限り数多くの被害者に感染させるために、マルウェアの作成者が絶えずコードを更新することはよくあります。たとえば、解析中に発見した下記のプログラム データベース ファイルによると、現在までこのランサムウェアに5つのバージョンが存在することが判明しています。
- C:\<…..>\VERSIONS\V1.1-29.11.2016\Popcorn
Time\Popcorn Time\obj\x86\Debug\Popcorn Time.pdb - C:\<…..>\VERSIONS\V1.2-30.11.2016\Popcorn Time\Popcorn
Time\obj\x86\Debug\Popcorn Time.pdb - C:\<…..>\VERSIONS\V1.2\Popcorn Time\Popcorn
Time\obj\x86\Release\Popcorn Time.pdb - C:\<…..>\VERSIONS\V1.3\Popcorn Time\Popcorn
Time\obj\x86\Release\Popcorn Time.pdb - C:\<…..>\VERSIONS\V2.0\Popcorn Time\Popcorn
Time\obj\x86\Release\Popcorn Time.pdb
このランサムウェアはほかの大多数のランサムウェアと同じ手法(正規アプリを装い、ファイルの暗号化、身代金の要求)を示していますが、マルウェアの作成者が、注目を集めるために絶えず独自の方法を模索していることを改めて思い知らされます。
Popcorn Timeは、オープンソースの「教育用」ランサムウェア Hidden Tearに基づいています。過去、何度も見てきたように、「教育用」ランサムウェアは悪用され、他人を感染させるか、身代金を支払わなければ解読できないという実世界のマルウェアとなる可能性があります。
このランサムウェア関連すべてのサンプルは、インテル セキュリティのエンドポイント製品によって検出されています。
※本ページの内容は 2016年12月19日更新のMcAfee Blogの抄訳です。
原文:‘Popcorn Time’ Ransomware Sure to Cause Indigestion
著者:Tim Hux
