使用するランサムウェアの特徴
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/11/09 07:39 UTC 版)
「REvil」の記事における「使用するランサムウェアの特徴」の解説
REvil(Sodinokibi)は、C言語で作成されている。他のランサムウェアと比べ優れている点は、暗号化システムと言われている。ファイルの暗号化にcurve25519/Salsa20、鍵の暗号化にはcurve25519/AES-256-CTRを使用している。開発者たちは、現時点で最高の暗号化システムだと自画自賛している。 またアンチウイルスソフトやその他の手法による検知を防ぐ手段を数多く使用するため、検知するのも難しいと言われている。多くのアンチウイルスソフトがSodinokibiの初期ペイロードを「悪意あるもの」として警告しないため、検知されずに通過され防御の第一層を簡単にバイパスしてくる。 その他の特徴として、MazeやLockbitには無い、Elliptic Curve Cryptography(楕円曲線暗号)やトリプルサーキット(ファイル・キー、システム・キー、アフィリエイト・キー)を持っている。 REvilは被害者のネットワークからデータを盗みだし、ネット上に流出させると脅す(REvilの場合はオークション形式で販売する)。REvilが情報を暴露するブログは「Happy Blog」(ハッピーブログ)と呼ばれている。 さらにファイルを暗号化し使用不可能にもする。デフォルトのWindowsバックアップメカニズム(シャドウコピー)や、NASやテープといったバックアップファイルを削除し、自力では復旧できないようになる。暗号化されたファイルを復号化するツールを受け取るには身代金を支払わなければならない。この様な手法は「二重脅迫型」と呼ばれている。 REvilは攻撃する対象を決めてから狙う「標的型攻撃」を行う。2017年5月にWannaCryというランサムウェアが猛威を振い、150か国の23万台以上のコンピュータに感染した。しかしREvilは「WannaCryは非常に愚かで、かつ管理不能な実験だった」と酷評している。理由は「大きな騒ぎを起こして、利益が10万ドルにも満たないというのは滑稽である」と商業的な失敗を挙げた。ランサムウェアSodinokibiは、RCE(リモートコード実行)を使ったエクスプロイトがないため、ワームのように、外部ネットワークの他のパソコンに自動的に感染することはないが、大量に感染させても(身代金的には)旨味がなく、金銭的に余裕のある大企業のみをピンポイントで狙った方がはるかに効率的だという。
※この「使用するランサムウェアの特徴」の解説は、「REvil」の解説の一部です。
「使用するランサムウェアの特徴」を含む「REvil」の記事については、「REvil」の概要を参照ください。
- 使用するランサムウェアの特徴のページへのリンク