新たなNEMTYランサムウェア、v3.1が韓国国内で拡散中(2020.04.01)

AhnLab ASEC 分析チームは2020年4月1日、Nemty ランサムウェアが NEMTY REVENUE 3.1 にアップデートされ、韓国の国内で出回っていることを確認した。拡散手法は従来と同じく、電子メールの添付ファイル形式を利用している。現在までに確認された添付ファイル名は、以下のように「履歴書」、「ポートフォリオ」、「不当電子商取引違反行為」等のフレーズを使用しており、従来のものと大きく変わりはなかった。

  • 電算および非転写資料保存要請書(20200401)_資料を保存して今後の不当な利益を避けてください.exe
  • 不当電子商取引違反行為案内(20200401)_資料を保存して今後の不当な利益を避けてください.exe
  • 履歴書_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe
  • ポートフォリオ_キム・ジミョン_一生懸命情熱的に最善を尽くしますよろしくお願いします.exe

ランサムウェアの主な機能上の変化は確認されなかったものの、NEMTY v2.x とは異なり、感染後にデスクトップも変更され、感染除外拡張子、フォルダに変化があった。また、ネットワークに接続されていない環境では感染も行われず、デスクトップの変化も発生しない。

[図1] NEMTY REVENUE 3.1 ミューテックス
[図2] 感染後に変更されたデスクトップ
[図3] NEMTY REVENUE 3.1ランサムノート
[図4] ユーザー情報の送信

Nemty v2.x とは異なり、log、program files (x86)、NEMTY、.mp3、.mp4、.NEPHILIM、.msi 感染除外フォルダ、ファイル名、拡張子が追加され、除外されたファイルとフォルダも存在する。国は確認するが、感染除外のようなコードは消滅した。

除外フォルダおよびファイル名windows、$RECYCLE.BIN、rsa、NTDETECT.COM、
ntldr、MSDOS.SYS、IO.SYS、boot.ini、AUTOEXEC.BAT、
ntuser.dat、desktop.ini、CONFIG.SYS、RECYCLER、
BOOTSECT.BAK、bootmgr、programdata、appdata、
Common FilesTorDir、program files、log、
program files (x86)、NEMTY DECRYPT.txt
除外拡張子.pif、.ttf、.url、.dll、.ini、.cpl、.com、.cmd、
.cab、.log、.exe、.lnk、.mp3、.mp4、.NEPHILIM、.msi

Nemty v2.x バージョンは昨年11月から今年3月17日まで絶えず拡散され、4月1日からはアップデートされたバージョンである v3 により、ソーシャル・エンジニアリングの手法を利用して拡散が続いている。ユーザーは疑わしい電子メールおよび添付ファイルを開くときに注意が必要であり、現在 V3 では、このようなランサムウェアを次のような診断名で診断している。

[ファイル診断]

  • Trojan/Win32.MalPe (2020.04.01.05)

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments