エロ画像と見せかけたマルウェアでデータを全損させる「偽アダルトサイト」が報告される

アダルトコンテンツに偽装したマルウェアを配布し、ストレージ内のデータファイルを暗号化したと偽って身代金を要求するという悪質サイトの事例が報告されました。

Cyble — % Fake Ransomware Infection Under widespread
https://blog.cyble.com/2022/10/06/fake-ransomware-infection-under-widespread/

Fake adult sites push data wipers disguised as ransomware
https://www.bleepingcomputer.com/news/security/fake-adult-sites-push-data-wipers-disguised-as-ransomware/

セキュリティ企業のCybleは2022年10月6日に、「nude-girlss.miwire[.]org・sexyphotos.kozow[.]com・sexy-photo[.]online」など、アダルトサイトを装ったドメインで偽のランサムウェアが配布されていたことが分かったと発表しました。

これらのサイトでは、ユーザーに「SexyPhotos.JPG.exe」というJPG画像に偽装した実行ファイルをダウンロードするよう促すとのこと。デフォルト設定のWindowsでは「.exe」の拡張子部分は表示されないため、「SexyPhotos.JPG」という画像ファイルだと思ったユーザーはこのファイルをダブルクリックして実行してしまうおそれがあります。

この実行ファイルが展開されると、偽ランサムウェアはPCに保存されているファイルの名前を「Locked_(番号).Locked_fille」に変更してしまいます。ファイルは暗号化されませんが、元がどんなファイル名や拡張子だったのかは分からないため、被害者が自力で復旧するのは難しいとのことです。

続いて、偽ランサムウェアはファイルを暗号化したと宣言して3日以内に300ドル(約4万3000円)相当のビットコインで身代金を支払うよう要求し、期限を過ぎたら身代金を倍額にしたりファイルを削除したりすると脅迫するテキストファイルをPCに保存します。もっとも、前述の通りファイルはそもそも暗号化されていないため、もし身代金を支払っても復号ツールが提供されることはなく、リネームしたファイルを元通りにできるツールが提供される可能性もほとんどありません。

また、偽ランサムウェアは「del.exe」という実行ファイルによりデータを全て削除するよう試みますが、間違えて「dell.exe」というファイル名を指定しているため、「dell.exeが見つかりません」というダイアログが表示されるだけです。

この偽ランサムウェアについて、IT系ニュースサイトのBleepingComputerは「これは、マルウェアがバグだらけのお粗末な代物であっても、不注意からデータを失ってしまうことを示す好例です。復旧方法として考えられるのは、OSを以前の状態に復元することですが、復元のタイミングによってはデータが失われるでしょう。一般的に、この問題を解決する最短の方法はOSの再インストールであるため、普段から重要なデータを定期的にバックアップしておくのが最善策となります」とコメントしました。