国内にも拡散するGandCrabランサムウェア

最近知られるようになった新種のランサムウェア、GandCrab が国内で拡散している。このランサムウェアは、Exploit Kit により脆弱な Web サイトにアクセスすると感染する。最初に発見されて以降、現在まで継続的に拡散し続けている。

このランサムウェアに感染すると、ファイルの拡張子が .GDCB に変更され、GDCB-DECRYPT.txt ファイルが生成される。

[図1] ランサムウェア感染時の拡張子変更

GandCrab ランサムウェアが実行されると、自身を %appdata%\Microsoft\[Randomstr{6}].exe にコピーし、レジストリ登録によって PC に残されて継続的に実行されるようにする。

ファイル生成パス  %appdata%\Microsoft\[Randomstr{6}].exe
 レジストリ HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
[表1] 継続的に実行するためのファイルコピーおよび自動実行登録

この後、特定プロセスの作動有無を確認し、作動中の場合、当該プロセスを終了する。

プロセス終了対象 
msftesql.exe
sqlagent.exe
sqlbrowser.exe
sqlservr.exe
sqlwriter.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesktopqos.exe
agntsvc.exeisqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
[表2] プロセス終了対象リスト

また、C&C 接続によってユーザーの情報を収集して転送する。収集するユーザー情報のうち、現在実行中のプロセスリストを確認して AntiVirus 製品を使用中の場合、その製品をリスト化して同時に転送する。この時に確認するプロセスリストは、以下の通りである。

使用中の AntiVirus 製品の確認リスト
AVP.EXE
ekrn.exe
avgnt.exe
ashDisp.exe
NortonAntiBot.exe
Mcshield.exe
avengine.exe
cmdagent.exe
smc.exe
persfw.exe
pccpfw.exe
fsguiexe.exe
cfp.exe
msmpeng.exe
[表3] ユーザーが使用中の AntiVirus 製品の確認対象

その他にも、IP、PC_USER、PC_NAME、PC_GROUP、言語、OS version、OS bit、識別子、ストレージデバイス情報を同時に転送する。

C&Cドメイン 
no****ra***m.bit
em***o*t.bit
ga****ab.bit
[表4] C&C ドメイン

その後、暗号化を実行する。暗号化対象は以下の通りである。

暗号化対象の拡張子 (456個)
 .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
[表5] 暗号化対象の拡張子

一部のパスおよびファイル名は暗号化対象から除外される。

暗号化除外パス  暗号化除外ファイル名
\ProgramData\
\Program Files\
\Tor Browser\
\Ransomware\
\All Users\
\Local Settings\
%ProgramFiles%
%CommonProgramFiles%
%windir%
%LOCALAPPDATA%
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
GDCB-DECRYPT.txt
[表6] 暗号化除外対象

暗号化の完了後、復元を不可能にするために wmic、vssadmin 等を利用して Volumn Shadow Copy を削除する。

[図2] ランサムノート

ランサムウェアの特性上、完全な復旧方法や予防策はないが、被害を最小限に抑えるため、常に Windows セキュリティパッチおよび V3 アンチウイルスプログラムを最新の状態にアップデートしておくことが重要である。

また、信頼できない宛先からのメール等の添付ファイルを開くこと、および未確認の Web ページにアクセスする際は特にユーザーの注意が必要であり、FLASH の脆弱性を利用するため、FLASH のセキュリティ更新プログラムを最新の状態にしておくことも必要である。

現在 V3 では、GandCrab ランサムウェアを次のような診断名で診断している。

– ファイルの診断:Trojan/Win32.GandCrypt(2018.02.05.07)
– 行為の診断:Malware/MDP.Ransom.M1171

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments