ASEC 分析チームは、STOP ランサムウェアが韓国国内で拡散していることを確認した。このランサムウェアは、ASEC マルウェア週間統計 ( 20221128~20221204)で Top3 を占めるほど多数拡散している。最近配布されているファイルは SmokeLoader、Vidar のように MalPe フレームワークを持つことが特徴である。配布ファイル名は以下のように 4byte のランダムな文字列を持つことが確認されている。
- %SystemDrive%\users\[user]\appdata\local\temp\4316.exe
- %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe
- %SystemDrive%\users\[user]\appdata\local\temp\a579.exe
- %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe
- %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe
ランサムウェアが実行されると、まず hxxps://api.2ip.ua/geo.json に接続して country code を確認する。以下に該当する場合は、暗号化を実行しない。
| country code | 国 |
| RU | Russia |
| BY | Belarus |
| UA | Ukraine |
| AZ | Azerbaijan |
| AM | Armenia |
| TJ | Tajikistan |
| KZ | Kazakhstan |
| KG | Kyrgyzstan |
| UZ | Uzbekistan |
| SY | Syria |
上記に該当する国ではない場合、%LOCALAPPDATA% フォルダーに[uuid]の名前でフォルダーを生成し、当該フォルダーに実行ファイルを自己複製する。その後、複製したファイルを –AutoStart 引数を与えて HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SysHelper レジストリに登録する。
生成されたレジストリ
また、複製されたファイルが変更/削除されないように icacls コマンドを利用してすべてのユーザーにおいて該当するフォルダーおよびサブフォルダーに対するすべての権限を削除する。
- 実行コマンド : icacls “%LocalAppData%\[uuid]” /deny *S-1-1-0:(OI)(CI)(DE,DC)
変更されたフォルダー権限
その後、ランサムウェアファイルが持続的に実行されるように Time Trigger Task の名前で Task スケジューラにタスクを登録する。Task スケジューラに登録されたファイルは –Task を引数として5分ごとに実行される。
タスクスケジューラ
このほかにも、ランサムウェアが管理者権限で実行されるように Runas を通じて –Admin IsNotAutoStart IsNotTask を引数にランサムウェアを実行する。
STOP ランサムウェアはファイルの暗号化のために hxxp://fresherlights[.]com/test1/get.php?pid=[MAC アドレスの MD5 HASH 値] に接続して暗号化に使用するキーデータを受け取る。転送されたデータは %LOCALAPPDATA%\bowsakkdestx.txt に保存され、当該アドレスに接続が不可能な場合はランサムウェア内に存在するデータを使用する。
bowsakkdestx.txt ファイル
暗号化除外フォルダーおよびファイル、拡張子は以下の通りである。
| C:\SystemID\, C:\Users\Default User\, C:\Users\Public\, C:\Users\All Users\, C:\Users\Default\, C:\Documents and Settings\, C:\ProgramData\, C:\Recovery\, C:\System Volume Information\, C:\Users\vmuser\AppData\Roaming\, C:\Users\vmuser\AppData\Local\, C:\Windows\, C:\PerfLogs\, C:\ProgramData\Microsoft\, C:\ProgramData\Package Cache\, C:\Users\Public\, C:\$Recycle.Bin\, C:\$WINDOWS.~BT\, C:\dell\, C:\Intel\, C:\MSOCache\, C:\Program Files\, C:\Program Files (x86)\, C:\Games\, C:\Windows.old\, D:\Users\[user]\AppData\Roaming\, D:\Users\[user]\AppData\Local\, D:\Windows\, D:\PerfLogs\, D:\dell\, D:\Intel\, D:\MSOCache\, D:\Games\, D:\ProgramData\Desktop\, D:\ProgramData\Microsoft\, D:\ProgramData\Package Cache\, D:\$Recycle.Bin\, D:\$WINDOWS.~BT\, D:\Program Files\, D:\Program Files (x86)\, E:\dell\, E:\Windows\, E:\PerfLogs\, E:\Users\Public\, E:\$Recycle.Bin\, E:\$WINDOWS.~BT\, E:\Program Files\, E:\Intel\, E:\MSOCache\, E:\Program Files (x86)\, E:\Games\, E:\ProgramData\Desktop\, E:\Users\vmuser\AppData\Roaming\, E:\Users\vmuser\AppData\Local\, E:\ProgramData\Microsoft\E:\ProgramData\Package Cache\, F:\dell\, F:\Windows\, F:\PerfLogs\, F:\ProgramData\Desktop\, F:\Users\Public\, F:\$Recycle.Bin\, F:\$WINDOWS.~BT\, F:\Intel\, F:\Users\[user]\AppData\Roaming\, F:\Users\[user]\AppData\Local\ , F:\ProgramData\Microsoft\ |
暗号化除外フォルダー
| ntuser.dat, ntuser.dat.LOG1, ntuser.dat.LOG2, ntuser.pol |
暗号化除外ファイル
| .sys, .ini, .DLL, .dll, .blf, .bat, .lnk, .regtrans-ms |
暗号化除外拡張子
ファイルが感染すると、ファイル名が「[既存ファイル名].bowd」に変更され、以下のランサムノートが生成される。
ランサムノート ( _readme.txt )
このランサムウェアは現在多数が拡散しているだけに、.bowd 拡張子以外にも様々な拡張子が確認されている。
| 確認日 | 拡張子名 |
| 11/03 | .bowd |
| 11/07 | .zate |
| 11/16 | .fatp |
| 11/24 | .tcvp |
| 11/29 | .kcvp |
| 12/01 | .uyit |
STOP ランサムウェアは様々な引数値により実行され、各引数によって実行される機能に違いがある。また、ファイルの暗号化だけでなく、さらなるマルウェアをダウンロードする機能も存在する。現在 STOP ランサムウェアがダウンロードするファイルはバンキング型マルウェアであり、このほかにも様々なマルウェアがダウンロードされるおそれがあるため、ユーザーの注意が必要である。
[ファイル検知]
- Trojan/Win.SmokeLoader.R532839(2022.11.04.02)
- Trojan/Win.Generic.R533564(2022.11.08.03)
- Infostealer/Win.Raccoon.R534639(2022.11.16.02)
- Trojan/Win.SmokeLoader.R536008(2022.11.25.01)
- Ransomware/Win.Extensions.C5314354(2022.11.26.00)
- Downloader/Win.BeamWinHTTP.R536869(2022.12.01.02)
- Trojan/Win.SmokeLoader.R536926(2022.12.02.01)
[ビヘイビア検知]
- Persistence/MDP.AutoRun.M203
[IOC 情報]
- bcd360251e71a44bd89b76a137ab74e1
- dcf1661f464688799531f10aa23d535f
- ec9e7ec1f15a62c4758fb57a73c2ef43
- 1b6cb967d428b206838942f6dd48bc84
- 60af7021e4bf7e26d25852de5cb43eac
- 83c1e4e675d6c19eb31b92bbe0471341
- 623ec8b8c74e4e45a2380c41b5bb8045
- hxxp://fresherlights[.]com/test1/get.php
- hxxp://uaery[.]top/dl/build2.exe
- hxxp://fresherlights[.]com/files/1/build3.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報