偽Windows Updateランサムウェアに感染ロック画面で電話サポート詐欺

偽Windows Updateランサムウェアに感染ロック画面で電話サポート詐欺

Image いらすとや

去年2015年に日本でも 電話サポート詐欺 が上陸を果たし、偽ブルースクリーンや偽ウイルス検出警告にダマされて電話してしまい、変な日本語を話す外国人にパソコンを遠隔操作されサポート契約を結んでしまう被害が複数挙がってます。

サポート詐欺 × ランサムウェア

この発展バージョンとして、海外ではWindowsパソコンに Windows Update 風の偽ロック画面 を表示して電話サポートに問い合わせるよう要求する不正なプログラムが確認されたとか。

■ Tech Support Scammers Get Serious With Screen Lockers | Malwarebytes
https://blog.malwarebytes.org/cybercrime/social-engineering-cybercrime/2016/05/tech-support-scammers-get-serious-with-screen-lockers/

■ 「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意 - GIGAZINE
http://gigazine.net/news/20160519-windows-update-scam/

さっそくこの不正なプログラムを手元のWindowsパソコンで動かしてみると、そのロック画面は Windows Update を実施してパソコンが再起動された直後に更新ファイルが適用されるシーンを装ってました。

まず、水色の背景に『Configuring updates Stage ○ of 3 - ○％ complete. Do not turn off your computer.』という英語のメッセージが15秒ほど表示されます。

次に『Windows Update can not continue as your Software copy is Expired/Corrupt. Please enter a Valid Product key to continue.』として、Windows Update を継続したいなら有効なプロダクトキーの入力するよう促す不自然な画面となって完了です。

不正なプログラムはサポート電話番号 1-844-872-8686 へ連絡するよう案内があるだけで ランサム（＝身代金）を支払うよう要求する場面はないので、これを ”ランサムウェア” と言えるかどうかはビミョーな感じもします。

偽Windows Updateウイルスの感染経路？

偽Windows Update の感染経路はよく分からんけど、この不正なプログラムはWindows向けメンテナスツールを思わせる「PC Cleaner」名義のインストーラから取り込まれる形になってました。

Welcome to the PC Cleaner Setup Wizard

MD5 16a63ddd49552199b3a92b5fe88f804f

www.virustotal.com/en/file/b46940adcfefac96db737aa663f44e31e071fb7bffc757f98d811c2d82f1d3b8/analysis/1462299202/

[2016年7月追記...]

偽Windows Update ではないけれど、日本人を狙ってサポート詐欺の電話番号をポップアップ表示する不正なプログラムが確認されました。

・ 03-5050-1410警告コール削除方法お使いのコンピュータが危険？ Event System Monitor