macOSのソフトウェア海賊版を狙う新たなランサムウェアが発見されました。Swiftで作成されたこの「粗雑なコード」のマルウェアは、Microsoft OfficeやAdobe製品などの一般的なソフトウェアスイートのコピープロテクトを解除すると謳いながら、ユーザーのファイルを暗号化して身代金を要求します。しかし、被害者が身代金を支払ったとしても、ファイルを復号する方法はありません。
AppleInsider:
BitTorrentサイト経由で流通し、「Patcher」と呼ばれるこのマルウェアは、海賊版業者が一般的なソフトウェアスイートで使用されているコピープロテクションやライセンスシステムを回避するためのクラックを装っています。研究者のMarc-Etienne M.Léveillé氏は、Microsoft Office for Mac 2016とAdobe Premiere Pro CC 2017のロックを解除する方法を装う、同じコードを使用した2つの異なる偽のPatcherを発見しましたが、このマルウェアが別の名前で流通している事例が他にも存在する可能性を示唆しています。
マルウェアが実行されると、海賊版ソフトウェアにパッチを適用するには「開始」ボタンを押すように指示するウィンドウが開きます。ボタンをクリックすると、ランサムウェアは「readme」ファイルを複数のユーザーディレクトリに配置し、その後、ランダムに生成された25文字のキーを使用して他のすべてのユーザーファイルをアーカイブに暗号化し、元のファイルを削除します。
Readmeファイルには、ファイルが暗号化されており、7日以内にロックを解除するには特定のウォレットアドレスに0.25ビットコインを支払う必要があると説明されています。支払いから24時間以内にファイルが復号されると謳われていますが、0.45ビットコインを支払うという別の選択肢も提供されており、その場合は10分以内に復号できると謳われています。
「Patcher」は、macOSオペレーティングシステムとそのユーザーを標的とする近年のマルウェアの急増の中で、最新のものにすぎません。過去30日ほどの間に、Adobe Flash PlayerのアップデートとMicrosoft Wordのマクロを装ったマルウェアが、米国の防衛産業や様々な人権団体を標的として発見されています。また、ロシアのハッカーによって作成されたとされるXagentマルウェアパッケージも発見されています。
身代金を支払ってもファイルを復号する方法はない
被害者全員に提示されるのは、感染ごとに異なる情報ではなく、同じビットコインウォレットとメールアドレスです。今のところ、そのビットコインウォレットには取引記録がないため、身代金を支払った人はいないようです。
たとえ被害者が身代金を支払ったとしても、ファイルを復元する方法はありません。Swiftで「不適切にコード化」されたこのマルウェアには、ユーザーにファイルを復号するための鍵を送信するコードが含まれていないからです。Léveillé氏は、このような脅威から身を守るために、すべての重要なデータの最新のオフラインバックアップとセキュリティソフトウェアの使用を推奨しています。
