Thor(トール)というランサムウェア(身代金要求ウィルス)が10月第4週より感染が広がっています。
Thorウィルスに感染すると、ファイルを暗号化して人質にとり、フォイルを戻すために金銭を要求します。
Thorは2016年前半に一世を風靡したLockyが進化した新しい亜種です。
ThorはWindows(XP、Vista、7、8、10)のすべての現バージョンに感染します。
Thorはスパムメールとして添付メールで届きます。
この例では、予算(Budget)についてのメールが届き、zipファイルが添付されています。
添付のzipファイルを解凍するとVBSファイルが展開され、このファイルをダブルクリックするとThorウィルスがパソコンにインストールされます。
Thorが起動すると、どのファイルを暗号化できるかを確認するために、ローカルドライブやネットワークドライブ、さらにクラウドドライブまで調べます。
そしてほぼ全てのファイルを非常に強力なAES+RSA暗号化してしまいます。
暗号化されたファイルは「B1A9S18WA-0ADB-01ABM-QK91-2A29LMV8A1.thor」のようにファイル名を変え、「.thor」拡張子を付けます。
全てのファイルの暗号化が完了すると、暗号化ファイルを解読する方法についての指示が記載された「_WHAT_is.html」または「_WHAT_is.bmp」といったファイルを作成します。
これらのファイルには暗号化ファイルを解読する方法についての指示が記載されています。
メッセージ例訳:
-----------------------------------------------------------------------------
!!! 重要な情報 !!!
全てのファイルは、RSA-2048とAES-128暗号で暗号化しました。
RSAとAESに関する詳細な情報は、ここに説明があります:(※訳注:暗号化がいかに強力かをウィキペディアで説明)
http://en.wikipedia.org/wiki/RSA(cryptsystem)
http://en.wikipedia.org/wiki/Advanced Encryption Standard
ファイルを解読する唯一の方法はプライベート鍵を入手することです。そして、我々の秘密のサーバに解読プログラムがあります。
下記リンクより、あなたのプライベート鍵を受け取って下さい:
1. http://~
2. http://~
もし、どちらのアドレスも利用できない場合は下記ステップに従って下さい:
1. Torブラウザー(※訳注:通信経路を匿名化するブラウザー)をダウンロードして、インストールして下さい
2. インストールが成功したら、ブラウザーを実行して初期化して下さい。
3. アドレスバーにタイプして下さい:~
4. そのサイトの指示に従って下さい
あなた個人の認証ID:~
-----------------------------------------------------------------------------
そこにはビットコインを支払うことで、ファイルを復元する旨の記載がありますが、支払いを行ってもファイルが戻ってくる保証はどこにもありません。
万が一Thorに感染してしまった場合は、サイバーセキュリティ110番にて対応を支援します。
Thorを含めたウィルス感染を防止するには、サイバーセキュリティ対策サービスにて、最適な対策を御提案いたします。
サイバーセキュリティソリューションズにお任せください。
PARTNER
