ここ数日、我々はフィンランド語にローカライズされ、フィンランド警察からのものだと称するランサムウェアが、フィンランド人を標的にしているという報告を受けとっている。

  問題のランサムウェアは、我々が「Trojan:W32/Ransom」と呼んでいるファミリーの一部で、ヨーロッパの数カ国でローカライズされている:ドイツ;英国;スペイン;そしてフィンランド。全ての国で、このソーシャル・エンジニアリング手法は同一だ。感染すると、同ランサムウェアはInternet Explorerをフルスクリーンに拡大(F11)し、地元の警察部隊からとして、ユーザのコンピュータが幼児虐待および動物虐待を含むサイトをブラウジングするのに使用されているというメッセージを表示する。また、テロリズムに関連するトピックの電子メールスパムを送信するのにも用いられており、罰金を支払うまではロックされるとも主張する。

kuvakaappaus
Image: Poliisi

  このケースでは、ランサムウェアは「Tietoverkkorikosten tutkinnan yksikko」、翻訳すると、情報ネットワーク犯罪ユニットからのものだと主張する。しかしフィンランド警察には、このような名称のユニットは無い。また、フィンランド語のクオリティもあまり高く無く、連絡先が「cyber-metropolitan-police.co.uk」となっていることも注意すべきだ。更に調査したところ、「cyber-metropolitan-police.co.uk」ドメインは、ポーランドのGette居住の架空の人物「be happy」氏に登録されていることが分かった。何とも信頼できそうなことだ。

  フィンランド語の身代金メッセージは、 Paysafecardを使用して支払いするよう求めている。これは匿名のオンライントランザクションで使用できる使い捨てのプリペイドカードだ。フィンランドのキオスクで全国的に販売されている。

  「エフセキュア インターネット セキュリティ」はTrojan:W32/Ransomの既知の亜種を、ファミリーネームもしくはジェネリックディテクションネームで検出するが、いつものように、注意した方が良い。我々のバックエンド統計は、これが確かに「liikkeella」(イン・ザ・ワイルド)であることを示しているのだ。

  このトロイの木馬の最初の感染ベクタは、JavaランタイムエクスプロイトかAdobe Acrobat PDFリーダーエクスプロイトだったが、使用されている新規の(ゼロデイ)エクスプロイトについての情報は無い。

  よって安全を守るには:

1. Acrobat PDFリーダーを最新版にアップデートするか、他のPDFリーダーにスイッチすること。
2. Javaランタイムをアップデートする。あるいは、Javaが必要ないなら、アンインストールするのが非常に望ましい。Javaが必要ならば、少なくとも使用していない時はブラウザで使用停止することを考えて欲しい。もしくは、Javaが未知のサイトから実行される前に知らせてくれるGoogle Chromeにスイッチしよう。

  もしランサムウェアによりコンピュータに障害が起きているなら、マルウェアの作者に一切支払をしないこと。ほとんど全てのケースで、支払をしたところでコンピュータは解放されないのだ。また、フィンランド警察も、世界のいかなる警察も、罰金の支払いにPaysafe、Ucash、あるいはその他のプリペイド請求システムを使用することは無い。もしメッセージが、クレジットカードもしくはその他の支払い方法を求めた場合は、ほぼ間違いなく詐欺であり、本物の政府職員では無い。

リンク:

  •  フィンランド警察の勧告 08.03.2012
  •  フィンランド警察の勧告 09.03.2012
  •  Cert-FIの勧告