AhnLab ASEC 分析チームは2020年3月2日、偽の Windows アップデート画面と共にインストールされる新種のランサムウェアを発見した。このランサムウェアは、既に韓国の国内で広く出回っている Bluecrab、Nemty、Paradise というランサムウェアと同じパッカー(Packer)を使用して拡散しており、暗号化されたファイルは拡張子に .rezm が追加される特徴を持つ。
ファイルを実行すると、以下のアドレスから Fake の Windows アップデートファイルをダウンロードして実行し、ユーザーには Windows 更新プログラムが実行されているような画面を表示する。しかし、実際にはランサムウェアが動作し、ユーザーの PC内のファイルを感染させる。
- http[:]//mopg.top/files/penelop/updatewin1.exe
- http[:]//mopg.top/Asjdi435784ihjk65pen2/get.php?pid=????생략????&first=true
- http[:]//mopg.top/files/penelop/updatewin2.exe
- http[:]//mopg.top/files/penelop/updatewin.exe
- http[:]//mopg.top/files/penelop/3.exe
- http[:]//mopg.top/files/penelop/4.exe
- http[:]//mopg.top/files/penelop/5.exe
- http[:]//paunsaugunt.com/517
- http[:]//paunsaugunt.com/freebl3.dll
- http[:]//paunsaugunt.com/mozglue.dll
- http[:]//paunsaugunt.com/msvcp140.dll
- http[:]//paunsaugunt.com/nss3.dll
- http[:]//paunsaugunt.com/softokn3.dll
- http[:]//paunsaugunt.com/vcruntime140.dll
以下の [図2] は _readme.txt という名前で生成されたランサムノートである。
このマルウェアを実行すると、AhnLab 分析チームの自動分析システム RAPIT では、以下のようなプロセス実行フローを示した。
外部からダウンロードしたファイルは以下のパスに生成され、当該フォルダにアクセス権を付与して削除されないようにする機能を実行する。(フォルダ名はユーザーによって変動するものと推定)
- C:\Users\%ユーザーアカウント%\AppData\Local\0fee4dc7-4518-478c-8290-735cf669e86f\updatewin2.exe
- C:\Users\%ユーザーアカウント%\AppData\Local\0fee4dc7-4518-478c-8290-735cf669e86f\updatewin1.exe
- C:\Users\%ユーザーアカウント%\AppData\Local\0fee4dc7-4518-478c-8290-735cf669e86f\updatewin.exe
マルウェア生成フォルダに対するアクセス権限の付与
- icacls “C:\Users\%ユーザーアカウント%\AppData\Local\5a62d912-778b-4591-873d-4c9826534ff8” /deny *S-1-1-0:(OI)(CI)(DE,DC)
ユーザーは、疑わしい電子メールおよび添付ファイルを実行する際に注意が必要であり、信頼できないサイトへのアクセスは避けるべきである。
現在 V3 では、このようなランサムウェアを次のような診断名で診断している。
[ファイル診断]
- Malware/Win32.Generic (2020.03.02.01)
[行為診断]
- Malware/MDP.Ransom.M1171
Categories:マルウェアの情報