LokiBot トロイの木馬 を削除するには

最近、LokiBotと呼ばれる新しい悪質なトロイの木馬の亜種に何人かのサイバー愛好家 @dvk01uk, @angel11VR ,@ViriBack が気づいている。1年前のようにAndroidsだけとは限らず(TheHackerNews.com article)、,Windows OSにおいても急速に広まっているようだ。この2つのプラットフォームにおいてわずかな動作の違いはあるものの、Lokibotはどちらにおいても同じくらい危険である。(トロイの木馬の詳細についてはこちらを参照 Kaspersky.com)。

2017年の終わりには、Threatfabric.com LokiBotは、トロイの木馬およびランサムウェアとして同時に動作するウク数の巧妙な機能を備えたハイブリッドなマルウェアと認識された。最初はいくつかの類似点があることから BankBotと間違われたが、LokiBotはすぐにその強力な能力で認識を得た。今回、このトロイの木馬はWindowsへのより強力な攻撃を備えて戻って来た。

LokiBot マルウェアはどのようにWindowsへ影響を与えるのか

LokiBot は主にAndroidに対するウイルスであるにもかかわらず、コンピュータに感染する能力も備えている。このパラサイトが示す行動は、TeleGrab、 JackServn、 Stresspaintのような典型的なトロイの木馬と同じだ。LokiBotは最近増えているトロイの木馬のようなクリプトマイニングには焦点を当てていないが、他のタスクで十分にその目的を果たしている。2017年、LokiBotはAndroidのエクスプロイトキットからだけでも 1.5million dollars 以上の収入を得ている。

悪質なリンクをクリックしたり、正当なソフトウェアであると思ってマルウェアをダウンロードしたりすると、LokiBotは承認もなしにバックグランドでこっそりとプロセスを実行し、妨げになるセキュリティの障壁が中立または迂回されるよう働く。ファイヤーウォールの変更、ウイルス対策の設定、システムファイルやレジストリの改ざんなどが行われるのだ。セットアップが完了し、LokiBotが全てのスクリプトが実行されて永続性/安全性が達成されたことを確認すると、トロイの木馬は悪意ある動作を開始する。LokiBot の最新版におけるテクニカル情報の詳細は以下を参照 Virustotal.com。

LokiBotは派手なパラサイトではなく静かに動作するので、ユーザーは特に取り除こうとはしないかもしれない。主にこのマルウェアは、Mozilla、Edge、Chrome、Safariなどのインターネットブラウザに侵入し、ネットサーフィンの活動の様子や過去の検索履歴を徹底的に追跡する。トロイの木馬はKeyloggingの助けを借りて、パスワード、ログイン情報、銀行の口座データなど最も機密な情報をも記録する。そして感染したマシンはハッカーたちにとってより扱いやすくなり、LokiBot は記録された全てのデータを遠隔地にあるハッカーのサーバーに送信する。

コンピュータがLokiBot トロイの木馬に感染していることに気づく大きな兆候は、システムとブラウザの動作が遅くなったりクラッシュする、ウイルス対策/ファイヤーウォールが無効になったり正しく機能しなくなる、ブラウジング中に多くの広告やハイパーリンク、インストールしたこともない新しいプログラムを目にする、さらなるマルウェア感染（ハッカーがサーバーを介して送信する）に見舞われるなどで、愛悪の場合銀行口座から金銭が引き落とされていたり個人情報が盗まれることもある。

現在のところ最も感染がひどい国はネパールとナイジェリアだが、この新しいバージョンは米国や世界各地に急速に広がっている。さらにLokiBot をDarkNet で$2000で購入できるという噂も飛び交っている。

LokiBot トロイの木馬はどのようにして広がるのか

LokiBotは主にソーシャルエンジニアリングされた スパムメールを介して広がっており、悪意あるトロイの木馬インストールである.exe ファイルを含んでいる。これらのEメールは、送信者のアドレスから内容まで実に詐欺的だ。政府、銀行、仕事、病院からのメッセージ、請求書、ログインの要求、添付ファイルのダウンロードなどが見られる。

LokiBot は単なるひとつのテクニックに限らず、Etutorials.org も述べている通りはオパーリンクや広告、メッセージアプリ、または他のパンドルされたプログラムを介して悪質なサイトにリダイレクトすることがある。

ファイルの名前からだけでLokiBotトロイの木馬を認識することは不可能だ。何故なら、Android用のAdobe Flash Playerや害のないテキスト/ZIPファイルとして身を隠している可能性があるからだ。 ‘Contract’ と呼ばれた2017年の旧バージョンと同じだ。(詳細はVirustotal.comを参照)。. To prevent LokiBot トロイの木馬がコンピュータに侵入したり、デバイスが再び感染したりすることを防ぐには、我々のランサムウェアに対する最強のセキュリティガイドを参考に、そこに書かれているヒントを実装するか、Securingtomorrow.com のアドバイスに従うことをお勧めする。

LokiBot トロイの木馬がAndroidにもたらす影響

拡散方法と個人情報を収集するための主な目的はWindowsを狙う亜種とほぼ同じだが、LokiBotはAndroid版にはもうひとつ特別なトリックを隠している。ログイン情報を必要とするアプリのふりをして詐欺を働くのだ。LokiBotはpretends to be Skype、WhatsApp、Mailing app、Paypal、さらには銀行アプリにまでなりすまし、メッセージやEメール、送金に関する情報などを確認するには特定のリンクにログインする必要があるという通知を表示する。入力されたデータを記録するためだけのLokiBot による偽りのページだ。

さらに、必要な情報/データを十分に集めたトロイの木馬は、実際のアプリを利用して連絡先リストなどに自身を分布することができる。それだけにとどまらず、詐欺師たちは被害ユーザーのアイデンティティを使用して友人にハッカーのアカウントへの送金を求めたり、サードパーティにデータを転売したりといった恐ろしいサイバー犯罪を実行する恐れもある。被害ユーザーが自身のデバイスの動作が遅いことに気づいたり、アカウントから怪しげなメッセージが送られていることに気づいたときには、LokiBot マルウェアを取り除くべきもうひとつの問題、すなわちランサムの要求にも直面することになる。

ユーザーがトロイの木馬を取り除こうとすると、LokiBotは画面をロックし、ファイルの暗号を解いてロックされたファイルを取り戻すための身代金（ランサム）をビットコインでおよそ$70-100要求される。幸いなことに、LokiBotの全部分が完璧に開発されているわけではなく、「暗号化」プロセスは名前の変更された感染ファイルのコピーが作成されるのでお金を払わなくてもアクセスできる。

驚くべきことに、このマルウェアの特性はこれだけにとどまらない。スパムテキストの読み込みや拡散、情報の記録と収集、Androidのロックの他に、LokiBot トロイの木馬は自動的に銀行アプリの開始、他のプログラムに隠れてフィッシング攻撃を仕掛けるなどのトリックを実装する。データの配布や破損、金銭の盗難、その他の重大な問題を避けるためには、この危険なウイルスをできる早くすぐに削除すべきだ。

LokiBot トロイの木馬の削除方法

インターネットユーザーまたはコンピュータやスマホを持っている人は誰でも、このようにデバイスにアクセスして個人データを盗もうとするトロイの木馬やその他のマルウェアを防ぐのに役立つウイルス対策ソフトウェアをインストールしておく必要がある。セキュリティ保証製品を取り入れていない、または現在使用しているものが正しく動作していないという場合は、今回さらに強力なツール、マルウェア駆除ソフトウェア (ウイルス対策とは異なるもの）を入手することを奨励する。

スパイウェア対策は、LokiBot のようなパラサイトがすでにシステムに入り込んでいる場合に、仮想マシンの最も深いレベルから検出して削除する。LokiBotはWindowsとAndroidの両方において動作するので、 Reimage か Malwarebytesがお勧めだ。この2つのプログラムはどちらも、コンピュータとスマホ両方におけるセキュリティを備え、最新の脅威も検出する最新のマルウェアデータベースを搭載している。

最後に、LokiBotのランサムメモとともにスマホがロックされた場合に暗号化されたファイルを取り戻すための簡単なソリューションは、単純にセーフモードでAndroidを実行することだ。

Automatic Malware removal tools