ランサムウェア「GandCrab」がバージョン4にアップデートされました。

GandCrabは2018年1月に登場したランサムウェアで、Internet Explorer や Flash Player の脆弱性を突いて、JavaScriptやFlash、VBscriptをベースに、最近では攻撃に使われる頻度が高くなっています。

GandCrabはダークウェブで「サービスとしてのマルウェア」として安価に利用することができ、頻繁にアップデートされているのも大きな特徴です。

今回のアップデートでは、暗号化がより高速になり、配布方法にも変更が加わりました。

特徴

GandCrabバージョン4には、高速なストリーム暗号である「Salsa20」が使用されており、これによってより高速にファイルの暗号化ができるようになった。Salsa20はランサムウェア「Petya」でも使用されていたアルゴリズムです。

GandCrabに感染すると、一般的なランサムウェアと同様にファイルが暗号化され、拡張子が「.CRAB」に変更されます。
変更された拡張子を元に戻しても開くことはできません

1ファイルだけは無料で復号できる機能も搭載されていますが、これは被害者に「身代金を支払えばファイルを元に戻せる」と思わせることが目的と考えられています。

感染手口

バージョン4のGandCrabは、乗っ取られたWordPressサイト経由で配布されます。乗っ取られたウェブサイトにアクセスすると、システムツールのダウンロードを促されますが、実際にはGandCrabによる暗号化が始まります。

このランサムウェアは過去にフィッシングメール経由で配布されていたこともあり、再び配布方法が変わる可能性もあります。

また、バージョン4ではファイルの暗号化にインターネット接続が不要になったのに加え、SMBの脆弱性を利用した感染拡大を実現しています。

そのため、「Windows XP」や「Windows Server 2003」で動作している端末は、インターネット接続なしで感染を広げることができ、古いXPや2003のシステムに影響を与える能力を持っているため、セキュリティ対策が不十分な一部の古い環境がリスクに晒される可能性があります

感染しないための対処方法

GandCrabを回避するためには、信頼できないウェブサイトからファイルをダウンロードしないことです。

とはいえ、GandCrabの実行ファイルやダウンロードリンクは頻繁に更新されており、再び配布方法が変わる可能性もあります。

変化する感染手口に対処するためにはアンチウイルスソフトのパターンファイルを最新の状態にしておくことが必要です。

更に、続々と登場する亜種や新バージョンに対抗するために、パターンファイルに頼らないセキュリティ対策を取ることが大切です。