ASEC 分析チームは、AhnLab ASD インフラによるランサムウェアと思われる行為の遮断履歴を通して、Crysis ランサムウェアの変種として確認されている Wiki ランサムウェアが正常なプログラムに偽装して拡散していることを確認した。
Wiki ランサムウェアは、実質的な暗号化を行う前に %AppData% パスや %windir%\system32 パスに自己複製を行い、スタートアッププログラムに登録するためのレジストリ登録(HKLM\Software\Microsoft\Windows\CurrentVersion\Run)およびファイルのコピーをすることで、ランサムウェアへの感染成功率を高める作業を担っている。
追加で終了するデータベース関連のサービスとプロセス名をメモリ上でデコードし、現在実行しているサービスとプロセスを照会して終了する。
| サービス終了対象 | FirebirdGuardianDefaultInstance FirebirdServerDefaultInstance sqlwriter mssqlserver sqlserveradhelper |
| プロセス終了対象 | 1c8.exe 1cv77.exe outlook.exe postgres.exe mysqld-nt.exe mysqld.exe sqlservr.exe |
その後、cmd.exe プロセスを生成し、コードページをキリル言語に設定する pipe コマンドと、ボリュームシャドーコピー削除のためのコマンドを実行し、感染後の復旧を事前に阻止している。また、ボリュームシャドーコピーを削除するためには管理者の権限必要であるため、ランサムウェアが管理者権限として実行されない場合は UAC ウィンドウを表示して、ボリュームシャドーコピーを正常に削除できるよう試みる。
- mode con cp select=1251
- vssadmin delete shadows /all /quiet
ファイルの暗号化をするプロセスにおいて、ランサムウェアへの感染実行を除外したシステムの損傷が発生し、ユーザーがランサムウェアに感染した事実に直面できないケースを防ぐため、感染除外システムフォルダーとファイルを検証する作業が行われる。
| 感染除外フォルダ | Windows |
| 感染除外ファイル | boot.ini, bootfont.bin, io.sys, ntdetec.com |
感染除外対象についての検証作業が終了すると、以下の拡張子についての検証の振る舞いが行われる。
| .1cd;.3ds;.3fr;.3g2;.3gp;.7z;.accda;.accdb;.accdc;.accde;.accdt; .accdw;.adb;.adp;.ai;.ai3;.ai4;.ai5;.ai6;.ai7;.ai8;.anim;.arw;.as;.asa;.asc;.ascx;.asm;.asmx;.asp;.aspx;.asr;.asx;.avi;.avs;.backup;.bak;.bay;.bd;.bin;.bmp; .bz2;.c;.cdr;.cer;.cf;.cfc;.cfm;.cfml;.cfu;.chm;.cin;.class;.clx;.config;.cpp;.cr2;.crt;.crw;.cs;.css;.csv;.cub;.dae;.dat;.db;.dbf;.dbx;.dc3;.dcm;.dcr;.der; .dib;.dic;.dif;.divx;.djvu;.dng;.doc;.docm;.docx;.dot;.dotm;.dotx;.dpx;.dqy;.dsn;.dt;.dtd;.dwg;.dwt;.dx;.dxf;.edml;.efd;.elf;.emf;.emz;.epf;.eps;.epsf;.epsp; .erf;.exr;.f4v;.fido;.flm;.flv;.frm;.fxg;.geo;.gif;.grs;.gz;.h;.hdr;.hpp;.hta;.htc;.htm;.html;.icb;.ics;.iff;.inc;.indd;.ini;.iqy;.j2c;.j2k;.java;.jp2;.jpc; .jpe;.jpeg;.jpf;.jpg;.jpx;.js;.jsf;.json;.jsp;.kdc;.kmz;.kwm;.lasso;.lbi;.lgf;.lgp;.log;.m1v;.m4a;.m4v;.max;.md;.mda;.mdb;.mde;.mdf;.mdw;.mef;.mft;.mfw;.mht; .mhtml;.mka;.mkidx;.mkv;.mos;.mov;.mp3;.mp4;.mpeg;.mpg;.mpv;.mrw;.msg;.mxl;.myd;.myi;.nef;.nrw;.obj;.odb;.odc;.odm;.odp;.ods;.oft;.one;.onepkg;.onetoc2;.opt; .oqy;.orf;.p12;.p7b;.p7c;.pam;.pbm;.pct;.pcx;.pdd;.pdf;.pdp;.pef;.pem;.pff;.pfm;.pfx;.pgm;.php;.php3;.php4;.php5;.phtml;.pict;.pl;.pls;.pm;.png;.pnm;.pot;.potm; .potx;.ppa;.ppam;.ppm;.pps;.ppsm;.ppt;.pptm;.pptx;.prn;.ps;.psb;.psd;.pst;.ptx;.pub;.pwm;.pxr;.py;.qt;.r3d;.raf;.rar;.raw;.rdf;.rgbe;.rle;.rqy;.rss;.rtf;.rw2;.rwl; .safe;.sct;.sdpx;.shtm;.shtml;.slk;.sln;.sql;.sr2;.srf;.srw;.ssi;.st;.stm;.svg;.svgz;.swf;.tab;.tar;.tbb;.tbi;.tbk;.tdi;.tga;.thmx;.tif;.tiff;.tld;.torrent;.tpl;.txt; .u3d;.udl;.uxdc;.vb;.vbs;.vcs;.vda;.vdr;.vdw;.vdx;.vrp;.vsd;.vss;.vst;.vsw;.vsx;.vtm;.vtml;.vtx;.wb2;.wav;.wbm;.wbmp;.wim;.wmf;.wml;.wmv;.wpd;.wps;.x3f;.xl;.xla;.xlam;.xlk;.xlm;.xls;.xlsb;.xlsm;.xlsx;.xlt;.xltm;.xltx;.xlw;.xml;.xps;.xsd;.xsf;.xsl;.xslt;.xsn;.xtp;.xtp2;.xyze;.xz;.zip; |
感染時には「[従来のファイル名].id-固有 ID .[bitlocker@foxmail.com].wiki」形態の拡張子が追加され、info.hta を実行してユーザーにマルウェアへの感染を知らせる。
Crysis タイプのマルウェアは、主に RDP を通して配布されるため、RDP への接続環境についての徹底的な監視が必要である。また、今回の Wiki ランサムウェアは、正常なプログラムに偽装した形態で拡散されるといった特徴があるため、電子メールや Web サイトからダウンロードされる、出どころの分からないファイルの実行は注意しなければならない。また、疑わしいファイルの場合はアンチウィルスを通して検査し、アンチウィルスは最新バージョンにアップデートする必要がある。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
- Ransomware/Win.Crysis.C5274546 (2022.11.11.02)
- Trojan/Win32.Crysis.R213980 (2022.11.11.02)
[ビヘイビア検知]
- Persistence/MDP.AutoRun.M224 (2022.11.11.02)
[IOC 情報]
- f09a781eeb97acf68c8c1783e76c29e6
- 3a81e8f22e239c4ced0ddfa50eacdfa4
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報