名前も内容も混沌

またもや新しいマルウェアが観測されています。
名前はChaosです。
このマルウェアは今年の6月から地下フォーラムで案内されていました。
開発が継続的に行われていく中でたびたびその宣伝が行われているのですが、仕様もどんどん変わっていっているようです。
このような経緯が確認されています。

  1. ファイルを暗号化する代わりにファイルの内容をランダムなバイトに置き換えた後、ファイルはBase64でエンコードする
    最初のころの実装では、こうなっていたそうです。
    これはランサムウェアではなく、単なる破壊するためのマルウェアです。
  2. すべてのボリュームシャドウコピーとバックアップカタログを削除する機能、およびWindowsリカバリモードを無効にする機能が追加
    凶悪さが増しました。
  3. 暗号化機能と復号化機能が追加
    AES / RSA暗号化を使用して1MB未満のファイルを暗号化する機能が搭載されました。
    この段階で機能としてランサムウェアとなりました。

ランサムウェアであると称していますが、最初の頃の実装では、身代金の支払いの有無は関係なく、そもそも復元できません。
脅迫して身代金を要求するのに、元に戻せないのです。
ひどすぎませんか?

ちなみに、このマルウェアはもう一つ別の機能も有しています。
すべてのドライブへの感染拡大機能です。
これが悪く作用すると、感染端末に一時的に接続されたUSBメモリなどにも感染し、それがもとでエアギャップなシステムにも感染が広がってしまう懸念がある機能です。

次々に新しい機能を持ったマルウェアが出現してきます。
常に新しい情報で武装し、身の回りのシステムを注意深く運用していきたいと思います。

参考記事(外部リンク):Chaos Malware Walks Line Between Ransomware and Wiper
threatpost.com/chaos-malware-ransomware-wiper/168520/