ランサムウエアPetya亜種GoldenEyeは、ワイパー型ウイルス!

F-Seucreの対応状況を確認すると、相当の数の亜種が出ていることがわかる。ただ、「GoldenEye.A」や「Petya.A」はいつ対応したのかが分からない。

 Trojan:W32/Petya.F – Hydra 2017-06-27_01 (2017-06-27 15:33:24 UTC)
 Trojan:W32/Petya.G – Hydra 2017-06-27_01 (2017-06-27 15:33:24 UTC)
 Trojan.Ransom.GoldenEye.B – Aquarius 2017-06-27_10 (2017-06-27 15:19:56 UTC)
 Trojan.Ransom.GoldenEye.C – Aquarius 2017-06-27_11 (2017-06-27 17:44:30 UTC)
 Trojan.Ransom.GoldenEye.D – Aquarius 2017-06-27_12 (2017-06-27 18:57:46 UTC)
 Trojan.Ransom.GoldenEye.E – Aquarius 2017-06-27_13 (2017-06-27 20:04:28 UTC)
 Trojan.Ransom.GoldenEye.F – Aquarius 2017-06-27_14 (2017-06-27 21:04:46 UTC)
 Trojan.Ransom.GoldenEye.G – Aquarius 2017-06-27_14 (2017-06-27 21:04:46 UTC)
 Trojan.Ransom.GoldenEye.H – Aquarius 2017-06-27_16 (2017-06-27 23:28:33 UTC)

Petya:ディスク暗号化ランサムウェア(F-Secure、2016.04.01)」という記事があった。どんだけ前にエフセキュアは調査していたんだ、という仰天記事だ。で、更に、「「Petya:ディスク暗号化ランサムウェア」に感染したマシンの復旧(F-Secure、2016.04.13)」で復旧方法が見つかったという調査報告まで済んでいるのだ。

Petyaはファイルを人質とし身代金を請求する一般的なランサムウエア。これに破壊活動を行う機能が加わったのがGoldenEyeというのだ。となると、昨日書いたブログは、どうやら、PetyaではなくGoldenEyeだったようだ。すみません・・・

 

ウクライナやロシアを中心に標的とされたランサムウエアPetyaの件、Kasperkyによると、金銭目的のランサムウエアではなく、『破壊』を目的としたワイパー型ウイルスとのことだ。

今回のランサムウエアについての報酬?については、配信を行ったディストリビューターに85%の報酬を、残りの15%をマルウェアの作成と、その拡散に必要なC&Cサーバー、身代金の振替システムなど、すべてのインフラを提供した側が得る構造、「RaaS(Ransomware As A Service)」モデルが確立しているという。

(参考)
ExPetr/Petya/NotPetya:ランサムウェアではなくワイパー(Kaspersky、2017.06.29)
世界を混乱に陥れたいだけのマルウェア(Kaspersky、2014.02.03)
ランサムウェア「GoldenEye」、侵入後は脆弱性以外の手法で感染拡大、暗号化されたファイルの復号は不能?(impress、2017.06.29)

(関連)
Petya-Likeランサムウェア リローデッド(Cylance、2017.06.28)
ランサムウェアPetyaの新しい亜種が大流行中(McAfee、2017.06.28)
新型ランサムウェア「PETYA」 脆弱性「EternalBlue」を利用し世界中で大規模攻撃(Avast、2017.06.28)
Petya ランサムウェアの猛威: 現時点で知っておくべきこと(Symantec、2017.06.27)