偽のWindows画面と共にインストールされる新種のランサムウェア、韓国国内で発見(*.rezm拡張子)

AhnLab ASEC 分析チームは2020年3月2日、偽の Windows アップデート画面と共にインストールされる新種のランサムウェアを発見した。このランサムウェアは、既に韓国の国内で広く出回っている Bluecrab、Nemty、Paradise というランサムウェアと同じパッカー(Packer)を使用して拡散しており、暗号化されたファイルは拡張子に .rezm が追加される特徴を持つ。

[図1] 偽の Windows アップデート画面

ファイルを実行すると、以下のアドレスから Fake の Windows アップデートファイルをダウンロードして実行し、ユーザーには Windows 更新プログラムが実行されているような画面を表示する。しかし、実際にはランサムウェアが動作し、ユーザーの PC内のファイルを感染させる。

  • http[:]//mopg.top/files/penelop/updatewin1.exe
  • http[:]//mopg.top/Asjdi435784ihjk65pen2/get.php?pid=????생략????&first=true
  • http[:]//mopg.top/files/penelop/updatewin2.exe
  • http[:]//mopg.top/files/penelop/updatewin.exe
  • http[:]//mopg.top/files/penelop/3.exe
  • http[:]//mopg.top/files/penelop/4.exe
  • http[:]//mopg.top/files/penelop/5.exe
  • http[:]//paunsaugunt.com/517
  • http[:]//paunsaugunt.com/freebl3.dll
  • http[:]//paunsaugunt.com/mozglue.dll
  • http[:]//paunsaugunt.com/msvcp140.dll
  • http[:]//paunsaugunt.com/nss3.dll
  • http[:]//paunsaugunt.com/softokn3.dll
  • http[:]//paunsaugunt.com/vcruntime140.dll

以下の [図2] は _readme.txt という名前で生成されたランサムノートである。

[図2] ランサムノート

このマルウェアを実行すると、AhnLab 分析チームの自動分析システム RAPIT では、以下のようなプロセス実行フローを示した。

[図3] プロセス実行フロー

外部からダウンロードしたファイルは以下のパスに生成され、当該フォルダにアクセス権を付与して削除されないようにする機能を実行する。(フォルダ名はユーザーによって変動するものと推定)

  • C:\Users\%ユーザーアカウント%\AppData\Local\0fee4dc7-4518-478c-8290-735cf669e86f\updatewin2.exe
  • C:\Users\%ユーザーアカウント%\AppData\Local\0fee4dc7-4518-478c-8290-735cf669e86f\updatewin1.exe
  • C:\Users\%ユーザーアカウント%\AppData\Local\0fee4dc7-4518-478c-8290-735cf669e86f\updatewin.exe

マルウェア生成フォルダに対するアクセス権限の付与

  • icacls “C:\Users\%ユーザーアカウント%\AppData\Local\5a62d912-778b-4591-873d-4c9826534ff8” /deny *S-1-1-0:(OI)(CI)(DE,DC) 

ユーザーは、疑わしい電子メールおよび添付ファイルを実行する際に注意が必要であり、信頼できないサイトへのアクセスは避けるべきである。

現在 V3 では、このようなランサムウェアを次のような診断名で診断している。

[ファイル診断]

  • Malware/Win32.Generic (2020.03.02.01)

[行為診断]

  • Malware/MDP.Ransom.M1171
0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments