（4/11追記 Check Point 社 Blogでも詳説されています。）

Decrypting the Petya Ransomware

NETWORKWORLDより
http://www.networkworld.com/article/3046622/petya-ransomware-overwrites-mbrs-locking-users-out-of-their-computers.html

最近新種のマルウェア（特にランサムウェア、身代金ウイルス）がどんどん増えてきているような気がします。

ややこしい動きをするマルウェアが出てきましたのでご紹介致します。

【記事概要】

• 新種のPetyaランサムウェアは、感染したPCのMBR（Master Boot Record、マスターブートレコード、Windowsの起動に必要なファイル）を上書きしてWindowsを起動不可にする。
• MBRはハードディスクの中の最初の領域である。含まれるのは、ひとつひとつのディスクの領域を区切る情報（パーティション情報）、OSを起動させる仕組み(boot loader)
• 他のランサムウェアと同じ様に、ウイルスが含まれたスパムメールを拡散する。
• スパムメールの中には、ドロップボックスへのリンクが書かれている。アクセスすると、フォルダの中には自己解凍形式のファイルがありダブルクリックすると解凍と同時に感染される。中身は偽装された写真が入っている。
• 感染すると、プログラムはPCの起動領域であるMBRを上書きし、強制的に再起動をさせる事を目的とした、致命的なWindowsのエラーを出したかの様にブルースクリーン画面を出す。
• 次回の、初回起動時には、ディスクが壊れた事を装って偽のcheck diskを起動する。この間には、PC内のMFT(Master file table)が暗号化されて行く。
• MFTには、ファイルがディスク内のどこにあるか、ファイル容量がいくら有るかなどの情報が含まれる。（つまり全てのファイルが、どこにあるかわからなくなる。）
• リカバリーソフトでも元に戻せなくなってしまう。
• 暗号化完了すると、次回起動時から、MBRにランサムウェアからのメッセージ画面が起動するように書き換えがされる。
• 「複合化キーを、0.99bitcoin（ビットコイン、匿名で送金か可能な仮想通過）で販売しています（約430ドル、日本円で５万円）」
• Petyaウイルスは主にドイツで動作している。が、おそらく他の国へも今後ひろがって行く。
• うまく行きそうであれば、どんどん海外に展開して行く傾向が有る。

【コメント】

• 昔は、ハードディスクの先頭領域を書き換えて、Windowsの再インストールでもディスクが使えないなどといったものがありました。
• 今回は、完全にOS入れ直しをすれば、またハードディスクは使えますが、身代金を欲しいがために、どんどん仕組みが複雑になってきています。
• 今後、対応策など出てきた場合は記事更新致します。