6月初めに以下の海外サイトを通して、Avaddon という名前の新種のランサムウェアに関する記事が紹介された。6月8日から韓国国内で RigEK(Rig Exploit Kit) を利用したマルウェアの拡散数が急増したことを確認しており、このランサムウェアが韓国国内でも拡散していることが確認された。
- (6月7日) sensorstechforum.com/avaddon-virus-remove/
- (6月8日) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/
以下の [図1] は、RigEK に対する V3 製品の行為検出ログの数を示している。1153とは行為検出ルール番号を表しており、6月8日から件数が急激に増加したことがわかる。
RigEK を利用して様々なマルウェアが拡散している中、Avaddon ランサムウェアが確認され、韓国国内ユーザーの注意が要求されている。動作プロセスを見ると、脆弱な Web ページにアクセスすると「iexplore.exe -> cmd.exe -> wscript.exe -> ランサムウェア.exe」の形式で実行される構造である。
ランサムウェアを実行時、キーボードレイアウトを確認して0x419 0x485 0x444 0x422 (Russian / Sakha / Tatar / Ukrainian)は暗号化から除外する。また、以下のレジストリ値を変更して不正なファイルが管理者権限で実行できるようにする。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
ファイルが感染する前に PC の ip 情報、rcid、暗号化キー値、特定ドライブの名前とサイズ、local、言語設定、PC name 等を送信する。
ランサムウェアが継続的に実行されるように、%APPDATA%\Roaming\microsoft フォルダに自己複製を行ったあと、以下のレジストリ値を登録する。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\update
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\update
バックアップファイル削除のために実行するコマンドは次の通りであり、これ以外にも $Recycle Bin フォルダに存在するファイルを削除する。
- wmic.exe SHADOWCOPY /nointeractive
- bcdedit.exe /set {default} recoveryenabled No
- bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- vssadmin.exe Delete Shadows /All /Quiet
- wbadmin DELETE SYSTEMSTATEBACKUP
- wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
感染除外フォルダは次の通りである。
- Windows、Program Files、Users\All Users、AppData、Microsoft、ProgramData
暗号化除外ファイルおよび拡張子は次の通りである。
- exe、dll.sys、ini、dat、bin、lnk、avdn、-readme.html、bckgrd.bmp
このランサムウェアに感染した時にユーザーに表示されるランサムノートは以下の [図2] のように「717850-readme.html」という形式で生成され、数値情報は可変的である。
暗号化されると本来の拡張子に .avdn 文字列が追加される構造であり、変更されるデスクトップは次の [図3] の通りである。
現在までに確認されたこのランサムウェアのファイル名は、以下の通り様々である。
- qwkka.exe
- piptu.exe
- xi9y8.exe
- xysys.exe
- onbxo.exe
AhnLab ASEC 分析チームでは、自動解析システム RAPIT を活用して Avaddon ランサムウェアのプロセスツリー構造と実行されたコマンドを次の通り確認している。
現在 V3 では、当該マルウェアを次のような診断名で診断している。
[ファイルの診断]
- Trojan/Win32.MalPe.R341479
[行為の診断]
- Malware/MDP.DriveByDownload.M1153
- Malware/MDP.Ransom.M2813
[メモリ診断]
- Win-Trojan/MalPeP.mexp
Categories:マルウェアの情報