ウィンドウ画面が怖いマイクロソフト配布ランサムウェアに感染してみた

イメージ 3
Image いらすとや

Windows 10 に実装されてる無料ウイルス対策ソフト Windows Defender がサポートする クラウド検出機能 の動作確認用として、マイクロソフトが 疑似マルウェアファイル なるブツを公開してます。

イメージ 4
『Microsoft から疑似マルウェアファイルのダウンロードを試みる』

Windows Defender ウイルス対策のネットワーク接続の構成とテスト - Microsoft
https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-defender-antivirus/configure-network-connections-windows-defender-antivirus

ダウンロードできる Windows 向け実行ファイル(拡張子 .exe) の画像がコチラ!

イメージ 1
「validatecloud.exe

123,456 バイト
MD5 65a53a41217ff82d23d3571dbb7f5898
SHA1 a7bf4809d0a968682b1194eff3a71ce3d8aba744


123,456 バイト
MD5 0593891cb9089455ba2567443be40dce
SHA1 76a888abc8c7a8dab91d2949030857312f652866

このファイルは、実際のマルウェアではありません。正しくクラウドに接続しているかどうかをテストするために作成されたダミーファイルです』 とのことだけど、いくつかのセキュリティソフトがこの実行ファイルを脅威扱いにしてます。

avast! MSIL:Agent-DR
Avira TR/Agent.ysgqg
BitDefender Gen:Variant.MSILPerseus.97364
ESET Generik.HUNCZLH
McAfee Artemis!65A53A41217F
Symantec Trojan.Gen.2
Trend Micro TROJ_GEN.R01BC0EE717
www.virustotal.com/ja/file/5ba7677ae942cd2628fcc517e7f85f72d86a8240f0f21470f58b8b5098f03eef/analysis/1492589168/

ファイルの説明では 「BaFS Sample」 となっていて由来は何かいな。

イメージ 5

ドクロマークにファイル暗号化!?

ダブルクリックして起動すると、事前知識なしでは 「ファイルを暗号化するコンピュータウイルスに感染して身代金の支払いを要求されてる」 と誤解しかねない恐ろしいウィンドウ画面が表示されました。

イメージ 2
真っ赤なドクロマーク にビックリ仰天!

File "Protection" Service
Your files will be permanently deleted in:
23:XX:XX
Encrypting Hard Drive
[Decrypt Files]
Requires encryption key. Click "Pay Now" to buy your key.
[Contact Us] [Pay Now]

このウィンドウ画面上では動くアニメーション演出も用意されてます。
  • 「あなたのファイルは永久に削除される」 として24時間からカウントダウン
  • 「ハードドライブを暗号化中」 として進捗状況バーがビヨ~ンと伸びる
ただ、このプログラムに無害な疑似マルウェアであるとフォローする説明が表示されることもなく、マイクロソフトが配ってる背景を知らないと 「作りかけの未完成ランサムウェア」 か 「笑えないジョークプログラム」 にしか見えん!
関連するブログ記事