ONIランサム。

最近日本国内で“ONI”と呼ばれるランサムウェアに感染したという被害報告がいくつか確認されています。このランサムウェアは感染をするとファイルを暗号化し.oniという拡張子をファイル名に付与して、復号するためには金銭を支払うように要求してきます。日本語でのインストラクションファイルを残していくことから、おもに日本のユーザーを標的にしたランサムウェアであると考えられます。
“ONI”ランサムウェアの正体 弊社のリサーチチームの調査の結果、この”ONI”ランサムウェアはGlobeImposterと呼ばれるランサムウェアファミリーの亜種とみられることが分かっています。調査した検体については少なくとも2017年6月には存在が確認されています。GlobeImposterは元々Globeと呼ばれるマルウェアを起源としており、感染して暗号化を行い、ファイル名に.cyptや.pscryptといった拡張子を付けてHTMLファイルベースの脅迫文を表示します。初期に確認されたGlobeImposterのサンプルは、コード上の問題が発見され復号ソフトが一部のベンダより提供されていますが、その後もさまざまな亜種が登場しておりすべてに対応できるかは確認されていません。今回の.oniという拡張子を使うランサムウェアもこのGlobeImposterのコードを元にした亜種の１つと考えられます。

日本をターゲットにしたGlobeImposterの亜種（”ONI”の正体） | Cylance Japan株式会社