AhnLab ASEC 分析チームは2020年4月1日、Nemty ランサムウェアが NEMTY REVENUE 3.1 にアップデートされ、韓国の国内で出回っていることを確認した。拡散手法は従来と同じく、電子メールの添付ファイル形式を利用している。現在までに確認された添付ファイル名は、以下のように「履歴書」、「ポートフォリオ」、「不当電子商取引違反行為」等のフレーズを使用しており、従来のものと大きく変わりはなかった。
- 電算および非転写資料保存要請書(20200401)_資料を保存して今後の不当な利益を避けてください.exe
- 不当電子商取引違反行為案内(20200401)_資料を保存して今後の不当な利益を避けてください.exe
- 履歴書_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe
- ポートフォリオ_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe
ランサムウェアの主な機能上の変化は確認されなかったものの、NEMTY v2.x とは異なり、感染後にデスクトップも変更され、感染除外拡張子、フォルダに変化があった。また、ネットワークに接続されていない環境では感染も行われず、デスクトップの変化も発生しない。
Nemty v2.x とは異なり、log、program files (x86)、NEMTY、.mp3、.mp4、.NEPHILIM、.msi 感染除外フォルダ、ファイル名、拡張子が追加され、除外されたファイルとフォルダも存在する。国は確認するが、感染除外のようなコードは消滅した。
| 除外フォルダおよびファイル名 | windows、$RECYCLE.BIN、rsa、NTDETECT.COM、 ntuser.dat、desktop.ini、CONFIG.SYS、RECYCLER、 BOOTSECT.BAK、bootmgr、programdata、appdata、 program files (x86)、NEMTY |
| 除外拡張子 | .pif、.ttf、.url、.dll、.ini、.cpl、.com、.cmd、 .cab、.log、.exe、.lnk、.mp3、.mp4、.NEPHILIM、.msi |
Nemty v2.x バージョンは昨年11月から今年3月17日まで絶えず拡散され、4月1日からはアップデートされたバージョンである v3 により、ソーシャル・エンジニアリングの手法を利用して拡散が続いている。ユーザーは疑わしい電子メールおよび添付ファイルを開くときに注意が必要であり、現在 V3 では、このようなランサムウェアを次のような診断名で診断している。
[ファイル診断]
- Trojan/Win32.MalPe (2020.04.01.05)
Categories:マルウェアの情報