STOP ランサムウェア、韓国国内で拡散中

ASEC 分析チームは、STOP ランサムウェアが韓国国内で拡散していることを確認した。このランサムウェアは、ASEC マルウェア週間統計 ( 20221128~20221204)で Top3 を占めるほど多数拡散している。最近配布されているファイルは SmokeLoader、Vidar のように MalPe フレームワークを持つことが特徴である。配布ファイル名は以下のように 4byte のランダムな文字列を持つことが確認されている。

  • %SystemDrive%\users\[user]\appdata\local\temp\4316.exe
  • %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe
  • %SystemDrive%\users\[user]\appdata\local\temp\a579.exe
  • %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe
  • %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe

ランサムウェアが実行されると、まず hxxps://api.2ip.ua/geo.json に接続して country code を確認する。以下に該当する場合は、暗号化を実行しない。

country code
RU Russia
BY Belarus
UA Ukraine
AZ Azerbaijan
AM Armenia
TJ Tajikistan
KZ Kazakhstan
KG Kyrgyzstan
UZ Uzbekistan
SY Syria

上記に該当する国ではない場合、%LOCALAPPDATA% フォルダーに[uuid]の名前でフォルダーを生成し、当該フォルダーに実行ファイルを自己複製する。その後、複製したファイルを –AutoStart 引数を与えて HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SysHelper レジストリに登録する。

生成されたレジストリ

また、複製されたファイルが変更/削除されないように icacls コマンドを利用してすべてのユーザーにおいて該当するフォルダーおよびサブフォルダーに対するすべての権限を削除する。

  • 実行コマンド : icacls “%LocalAppData%\[uuid]” /deny *S-1-1-0:(OI)(CI)(DE,DC)

変更されたフォルダー権限

その後、ランサムウェアファイルが持続的に実行されるように Time Trigger Task の名前で Task スケジューラにタスクを登録する。Task スケジューラに登録されたファイルは –Task を引数として5分ごとに実行される。

タスクスケジューラ

このほかにも、ランサムウェアが管理者権限で実行されるように Runas を通じて –Admin IsNotAutoStart IsNotTask を引数にランサムウェアを実行する。

STOP ランサムウェアはファイルの暗号化のために hxxp://fresherlights[.]com/test1/get.php?pid=[MAC アドレスの MD5 HASH 値] に接続して暗号化に使用するキーデータを受け取る。転送されたデータは %LOCALAPPDATA%\bowsakkdestx.txt に保存され、当該アドレスに接続が不可能な場合はランサムウェア内に存在するデータを使用する。

bowsakkdestx.txt ファイル

暗号化除外フォルダーおよびファイル、拡張子は以下の通りである。

C:\SystemID\, C:\Users\Default User\, C:\Users\Public\, C:\Users\All Users\, C:\Users\Default\, C:\Documents and Settings\, C:\ProgramData\, C:\Recovery\, C:\System Volume Information\, C:\Users\vmuser\AppData\Roaming\, C:\Users\vmuser\AppData\Local\, C:\Windows\, C:\PerfLogs\, C:\ProgramData\Microsoft\, C:\ProgramData\Package Cache\, C:\Users\Public\, C:\$Recycle.Bin\, C:\$WINDOWS.~BT\, C:\dell\, C:\Intel\, C:\MSOCache\, C:\Program Files\, C:\Program Files (x86)\, C:\Games\, C:\Windows.old\, D:\Users\[user]\AppData\Roaming\, D:\Users\[user]\AppData\Local\, D:\Windows\, D:\PerfLogs\, D:\dell\, D:\Intel\, D:\MSOCache\, D:\Games\, D:\ProgramData\Desktop\, D:\ProgramData\Microsoft\, D:\ProgramData\Package Cache\, D:\$Recycle.Bin\, D:\$WINDOWS.~BT\, D:\Program Files\, D:\Program Files (x86)\, E:\dell\, E:\Windows\, E:\PerfLogs\, E:\Users\Public\, E:\$Recycle.Bin\, E:\$WINDOWS.~BT\, E:\Program Files\, E:\Intel\, E:\MSOCache\, E:\Program Files (x86)\, E:\Games\, E:\ProgramData\Desktop\, E:\Users\vmuser\AppData\Roaming\, E:\Users\vmuser\AppData\Local\, E:\ProgramData\Microsoft\E:\ProgramData\Package Cache\, F:\dell\, F:\Windows\, F:\PerfLogs\, F:\ProgramData\Desktop\, F:\Users\Public\, F:\$Recycle.Bin\, F:\$WINDOWS.~BT\, F:\Intel\, F:\Users\[user]\AppData\Roaming\, F:\Users\[user]\AppData\Local\ , F:\ProgramData\Microsoft\

暗号化除外フォルダー

ntuser.dat, ntuser.dat.LOG1, ntuser.dat.LOG2, ntuser.pol

暗号化除外ファイル

.sys, .ini, .DLL, .dll, .blf, .bat, .lnk, .regtrans-ms

暗号化除外拡張子

ファイルが感染すると、ファイル名が「[既存ファイル名].bowd」に変更され、以下のランサムノートが生成される。

ランサムノート ( _readme.txt )

このランサムウェアは現在多数が拡散しているだけに、.bowd 拡張子以外にも様々な拡張子が確認されている。

確認日 拡張子名
11/03 .bowd
11/07 .zate
11/16 .fatp
11/24 .tcvp
11/29 .kcvp
12/01 .uyit

STOP ランサムウェアは様々な引数値により実行され、各引数によって実行される機能に違いがある。また、ファイルの暗号化だけでなく、さらなるマルウェアをダウンロードする機能も存在する。現在 STOP ランサムウェアがダウンロードするファイルはバンキング型マルウェアであり、このほかにも様々なマルウェアがダウンロードされるおそれがあるため、ユーザーの注意が必要である。

 

[ファイル検知]

  • Trojan/Win.SmokeLoader.R532839(2022.11.04.02)
  • Trojan/Win.Generic.R533564(2022.11.08.03)
  • Infostealer/Win.Raccoon.R534639(2022.11.16.02)
  • Trojan/Win.SmokeLoader.R536008(2022.11.25.01)
  • Ransomware/Win.Extensions.C5314354(2022.11.26.00)
  • Downloader/Win.BeamWinHTTP.R536869(2022.12.01.02)
  • Trojan/Win.SmokeLoader.R536926(2022.12.02.01)

[ビヘイビア検知]

  • Persistence/MDP.AutoRun.M203

[IOC 情報]

  • bcd360251e71a44bd89b76a137ab74e1
  • dcf1661f464688799531f10aa23d535f
  • ec9e7ec1f15a62c4758fb57a73c2ef43
  • 1b6cb967d428b206838942f6dd48bc84
  • 60af7021e4bf7e26d25852de5cb43eac
  • 83c1e4e675d6c19eb31b92bbe0471341
  • 623ec8b8c74e4e45a2380c41b5bb8045
  • hxxp://fresherlights[.]com/test1/get.php
  • hxxp://uaery[.]top/dl/build2.exe
  • hxxp://fresherlights[.]com/files/1/build3.exe

 

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest

0 コメント
Inline Feedbacks
View all comments