しばらくの間、ランサムウェアを見かけなかったので、最新のローグウェアのプッシングと昔ながらのランサムウェアの試みの要素を混ぜ合わせた最近の策動はむしろ興味深く感じられた。

  準備作業は、我々が「Trojan:W32/DatCrypt」と特定したプログラムによって行われ、感染したシステム上の特定ファイル(たいていの場合はMicrosoft Office書類、ビデオファイル、音楽ファイル、画像ファイル)が「破損」しているように見せかける:

Trojan.W32.Datcrypt, Notice

  実際、このファイルはDatCryptにより暗号化されている。

  次に、このトロイの木馬はユーザに「お奨めのファイル修復ソフトウェア」をダウンロードし、実行するようアドバイスする:

Trojan.W32.Datcrypt, Message

  これは「Rogue:W32/DatDoc」であることを検出している。

  このユーティリティがダウンロードされ、実行されると、不運なユーザはこれが「未登録バージョンでは1つのファイルしかリペアできない」ことを知ることになる:

Rogue.W32.Datdoc, Decryption

  それ以上修復するため(あるいはより正確には、復号化するため)には、ユーザはこの製品を購入しなければならない。

  これをユーザの視点で考えてみよう。「ああ、なんと言うことだ。大切なファイルを無くしてしまった!」「ありがたい!たったの89.95ドルで完璧にリカバーしてくれる素晴らしい製品を見つけたぞ。」「友達全員にData Doctorを奨めよう。」 実際の所、ユーザは自分自身のファイルの身代金(ランサム)を払うよう強要されているのであり、ユーザは自分が身代金を払っているということさえ気付いていない。

  このような陰謀は、ユーザが金を支払ってでも影響を受けたファイルをリカバーしたいと考えるだろうという推測、そしてユーザがこれらのファイルのコピーをどこかに保存していないという推測に基づいている。この攻撃はおそらく、ユーザが「まぁ、しかたないか…」と言って、「壊れた」ファイルを削除し、バックアップを取り出すようなら効果はなくなる。

  だからこれは、重要なファイルをCDやDVD、USBドライブのようなリムーバブル・メディア上か、我々のOnline Backupのようなオンライン・リソースに定期的にバックアップすることを思い出す良い機会と言えるだろう。

  宿題や明日のプレゼンテーション、あるいは母親の好みのレシピなどのコピーを取り戻すのに、誰かに金を支払うなどということは、腹立たしいではないか。

  ドロッパーのサンプルを提供してくれたSunbeltのアダム・トーマスと、最初の分析を提供してくれたチャンに感謝する。