[単独] GandCrab v4.1.2暗号化のブロック方法 (Kill-Switch) – Update(v4.1.3)

2018年7月9日、セキュリティベンダーのFortinetと、7月13日、アンラボにおいてGandCrab v4.1.1に対する暗号化のブロック方法を共有した。その後、7月17日に以下のようなGandCrab 4.1.2バージョンが新しく確認され、マルウェア内部にはFortinetとアンラボを嘲笑するかのようなフレーズが挿入されていた。

– “#fortinet & #ahnlab, mutex is also kill-switch not only lockfile ;)”

4.1.2バージョンでは、単純に上記フレーズが追加された以外にも、暗号化ブロックの核心となる*.lockファイル名の生成アルゴリズムが複雑に変更された。ファイル名の長さも、これまでの8バイトから20バイトに拡張された。AhnLab ASECでは、変更されたファイル名の生成アルゴリズムが、既知のSalsa20を一部修正したCustom Salsa20であることを確認し、これらの情報をもとに新たな暗号化ブロックツールを製作した。

以下の[図1]のように新しいバージョン4.1.2で*.lockファイルを生成するコードを示している。赤枠で表示した部分が新たに追加されたものであり、従来のボリューム情報以外にSalsa20関数によってlockファイル名を生成していることがわかる。

[図1] GandCrab v4.1.2のlockファイル生成

Salsa20で暗号化する時に使用するKey、Vector情報は以下の通りである。

  • KEY[] (16進数): 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10
  • VEC[] (16進数): 01 02 03 04 05 06 07 08
  • 入力値:”380978EA fortinet & ahnlab, mutex is also kill-switch not only lockfile ;)” (ただし、380978EAの値はドライブボリュームによって生成された情報であり、ユーザーごとに異なる)

変更されたファイル名のみ特定のパスに存在する場合は、依然として暗号化ブロック(Kill-Switch)が可能であることを確認しており、lockファイルの生成パスおよび使用方法は従来と同じで、以下の通りである。

フォルダ:CSIDL_COMMON_APPDATA

  • Win XP:C:\Documents and Settings\All Users\Application Data
  • Win 7、8、10:C:\ProgramData

ファイル:8A5BA4B9C369950A5FEC.lock ()

ツールの使用方法

  • 添付の実行ファイルをダウンロードした後、マウスを右クリックして「管理者として実行」
  • 以下のように当該フォルダ(Common AppData)に*.lockファイルが生成されることを確認

V3製品でも、現在出回っているGandCrab v4.1.2のタイプに関して以下のように診断/対応している。AhnLab ASECは、国内で出回っているGandCrabランサムウェアに関連して継続的な監視を行っており、V3製品では新しいバージョンも事前の対応が可能である。

  • 行為診断:Malware/MDP.Ransom
  • ファイル診断:Win-Trojan/Gandcrab04.Exp (2018.07.17.00)
  • MD5: f153ac5527a3e0bc3e663b8e953cc529

韓国の国内に出回っているGandCrabランサムウェアは、履歴書あるいは正常なプログラムに偽装してユーザーによるクリックを誘導する形式であることが確認されており、以下のようなファイル名が使用されている。

– \こんにちは。入社を志願するイム・ジョンヨンです\イム・ジョンヨン\イム・ジョンヨン\unclej.exe

– micro_office_2010.exe

– ツクール_ゲーム.exe

– ぷよぷよ_テトリス.exe

– 写真_リカバリ.exe

0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments