JavaScript内に含まれたGandCrabランサムウェア(V3削除を誘導)

AhnLab ASECでは、国内に出回っているGandCrabランサムウェアの拡散プロセスを監視中に、GandCrab 拡散スクリプトから V3 Lite 製品の削除(Uninstall)を誘導する機能を発見した。(V3 Lite のみをターゲットにする)

[図1] 難読化されたスクリプトコード

拡散スクリプトは [図1] のように難読化された JavaScript が含まれており、難読化を解除すると [図2] のような JavaScript のメイン関数を確認できる。

[図2] 復号されたスクリプトコード

[図2] で復号された JavaScript は、2つの方法によって GandCrab ランサムウェアを実行する。2番の項目の PowerShell を利用した方法によりダウンロードされる GandCrab のパスは、http://pastebin.com/raw/**** という形式で確認された。GandCrab 内部バージョンはすべてv4.3と確認された。

 GandCrabランサムウェアの実行方式
1.内部エンコードされた GandCrab 実行ファイルをユーザーのシステムに生成および実行  
2.PowerShell スクリプトを利用して GandCrab をダウンロードして実行
[表1] スクリプト内部の GandCrab 実行方式2種類

この拡散スクリプトからは、さらに V3 プログラムの削除を誘導する機能が発見された。拡散スクリプトはランサムウェアを実行する前にコードにより Windows Defender のサービスを無効化、およびV3の削除を誘導する。このスクリプトはV3 の削除を誘導するために、当該機能が含まれている「tmtvgcslpw.js」をローカルに作成して実行する。

 [図3] V3 削除誘導機能が含まれた JavaScript(tmtvgcslpw.js)

[図3] は V3 削除誘導機能が含まれた JavaScript(tmtvgcslpw.js) の、難読化が解除された様子である。このスクリプトは、V3のアンインストーラーのパスを取得した後、Windows バージョンに応じた実行方式によりアンインストーラーを実行する。アンインストーラーを実行した後、最大60秒まで V3 の削除有無を確認する。ユーザーがした場合、直ちにGandCrab ランサムウェアが実行される。  

拡散スクリプトは以下の [表2] の通り、正常なドキュメントおよびプログラム名に偽装して拡散しているため、添付ファイルとして送られてきたドキュメントを開く際には注意が必要である。

 拡散スクリプトの偽装ファイル名
 Windows_10_store_error.js  無料_ppt_テンプレート.js  ラブホリックス_butterfly.js  オートCAD_2014_Keygen.js  npdf_64_bit.js
[表2] 拡散スクリプトの偽装ファイル名

AhnLab の製品では、スクリプトファイル、およびランサムウェアを以下の通り診断している。GandCrab ランサムウェアのダウンロードによる作動、および PowerShell によるファイルレス(Fileless)形式、両方の行為をブロックすることができる。

拡散JSファイルファイル診断名JS/Gandcrab, JS/GandCrab.S1
ランサムウェア 実行ファイルファイル診断名Trojan/Win32.Gandcrab (2018.07.05.05)
行為診断名Malware/MDP.Ransom.M1171
PowerShellスクリプト行為診断名Malware/MDP.Ransom.M1947

– Update (2018.08.30)

8月30日に確認された「オートCAD_2014_Keygen.js」ファイルからは、以下のスクリプトコードからわかる通り、PowerShell によるダウンロード機能が削除された形で発見された。内部のエンコードされた GandCrab を生成して実行する機能のみが存在し、V3Lite のアンインストール機能等は同じである。

[図4] PowerShell 部分が削除された8/30付の変種
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments