ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「TZW」を追加する TZW ランサムウェアが配布されていることを確認した。
このランサムウェアのバージョン情報上、「System Boot Info」と明示して Boot 情報関連のプログラムである正常なファイルに偽装して拡散している。
.NET 形態で制作されており、内部にローダーと実際のランサムウェアデータを含んでいる。ローダーを通してランサムウェアファイルを最終的にロードして実行する構造である。リソース領域に存在するデータのうち、「dVvYsaL」をメモリ上にデコードしてファイルを実行させるが、このデータにローダーとランサムウェアデータが含まれている。このような方式は、従来の ASEC ブログでも紹介したことがある。
そして、このリソース領域にはポルノ写真も含まれており、その内容は図2の通りである。
実行された追加のローダーファイルはコピーを「GvsqHuTYODA.exe」のファイル名で %AppData% パスにドロップしてタスクスケジューラー登録を実行する。
- schtasks.exe /Create /TN “Updates\GvsqHuTYODA” /XML “%Temp%\tmpF6C.tmp”
タスクスケジューラー登録を終えたファイルは「{path}」パラメタとともにランサムウェアの振る舞いを実行する PE ファイルを再帰実行し、ファイルの暗号化を実行する。
実行されたプロセスは感染の振る舞いを実行する前に、仮想環境を確認するロジックを使用する。
その後、感染範囲を拡大させるため、ドライブ情報を確認するロジックを経て、ファイルの暗号化を実行するルーティンに移動する。
ファイル暗号化は共有フォルダーを暗号化するスレッドとローカル環境を暗号化するスレッドで成立している。
ファイルの暗号化は Windows フォルダーを除くすべてのファイルを対象に行われ、ファイルの暗号化以降はシステムの復旧を妨害するためにボリュームシャドー削除を実行する。
感染したシステムにはファイルの暗号化か実行されたパスで以下のような ReadMe.txt ランサムノートが確認でき、感染したファイルの最後には「CRYPTO LOCKER」の文字列が確認できる。
AhnLab V3 製品ではファイル検知、振る舞いベースの検知等を含め、様々な検知ポイントにより TZW 拡張子のランサムウェアが使用される PE ファイルを検知および対応している。ランサムウェア被害の予防のため、出どころが不明なファイルを実行する際は注意しなければならず、疑わしいファイルはセキュリティソフトによる検査を行い、アンチウイルスを最新版にアップデートしておく必要がある。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
- Ransomware/Win.Generic.C5355494 (2023.01.11.02)
- Trojan/Win.MSILKrypt.C5020026 (2022.03.21.01)
- Trojan/Win32.RansomCrypt.R343432 (2020.07.08.05)
[ビヘイビア検知]
- Malware/MDP.Inject.M218 (2019.10.30.02)
[IOC 情報]
- eae94abe9753634f79a91ecb4da7ff72
- 10daa4697b861d3dc45a0a03222ba132
- f1ab4f5cbf5fc72c4033699edadc4622
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報