2018年7月9日、セキュリティベンダーのFortinetと、7月13日、アンラボにおいてGandCrab v4.1.1に対する暗号化のブロック方法を共有した。その後、7月17日に以下のようなGandCrab 4.1.2バージョンが新しく確認され、マルウェア内部にはFortinetとアンラボを嘲笑するかのようなフレーズが挿入されていた。
– “#fortinet & #ahnlab, mutex is also kill-switch not only lockfile ;)”
4.1.2バージョンでは、単純に上記フレーズが追加された以外にも、暗号化ブロックの核心となる*.lockファイル名の生成アルゴリズムが複雑に変更された。ファイル名の長さも、これまでの8バイトから20バイトに拡張された。AhnLab ASECでは、変更されたファイル名の生成アルゴリズムが、既知のSalsa20を一部修正したCustom Salsa20であることを確認し、これらの情報をもとに新たな暗号化ブロックツールを製作した。
以下の[図1]のように新しいバージョン4.1.2で*.lockファイルを生成するコードを示している。赤枠で表示した部分が新たに追加されたものであり、従来のボリューム情報以外にSalsa20関数によってlockファイル名を生成していることがわかる。
Salsa20で暗号化する時に使用するKey、Vector情報は以下の通りである。
- KEY[] (16進数): 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10
- VEC[] (16進数): 01 02 03 04 05 06 07 08
- 入力値:”380978EA fortinet & ahnlab, mutex is also kill-switch not only lockfile ;)” (ただし、380978EAの値はドライブボリュームによって生成された情報であり、ユーザーごとに異なる)
変更されたファイル名のみ特定のパスに存在する場合は、依然として暗号化ブロック(Kill-Switch)が可能であることを確認しており、lockファイルの生成パスおよび使用方法は従来と同じで、以下の通りである。
フォルダ:CSIDL_COMMON_APPDATA
- Win XP:C:\Documents and Settings\All Users\Application Data
- Win 7、8、10:C:\ProgramData
ファイル:8A5BA4B9C369950A5FEC.lock (例)
- ファイル名はルートドライブのボリューム情報 + Custom Salsa20アルゴリズムをもとに生成
ツールの使用方法
- 添付の実行ファイルをダウンロードした後、マウスを右クリックして「管理者として実行」
- 以下のように当該フォルダ(Common AppData)に*.lockファイルが生成されることを確認
V3製品でも、現在出回っているGandCrab v4.1.2のタイプに関して以下のように診断/対応している。AhnLab ASECは、国内で出回っているGandCrabランサムウェアに関連して継続的な監視を行っており、V3製品では新しいバージョンも事前の対応が可能である。
- 行為診断:Malware/MDP.Ransom
- ファイル診断:Win-Trojan/Gandcrab04.Exp (2018.07.17.00)
- MD5: f153ac5527a3e0bc3e663b8e953cc529
韓国の国内に出回っているGandCrabランサムウェアは、履歴書あるいは正常なプログラムに偽装してユーザーによるクリックを誘導する形式であることが確認されており、以下のようなファイル名が使用されている。
– \こんにちは。入社を志願するイム・ジョンヨンです\イム・ジョンヨン\イム・ジョンヨン\unclej.exe
– micro_office_2010.exe
– ツクール_ゲーム.exe
– ぷよぷよ_テトリス.exe
– 写真_リカバリ.exe
Categories:マルウェアの情報