CVE-2018-8174 脆弱性分析

AhnLab ASEC 分析チームは、ランサムウェアを含む国内でのマルウェア拡散に広く使用されているIEの脆弱性、CVE-2018-8174 に対する分析を行った。この脆弱性はマグニバー(Magniber)ランサムウェアの拡散にも使用されており、セキュリティパッチの適用によって被害を予防する作業が必要である。 MS セキュリティアップデートページ (CVE-2018-8174) – https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-2018-8174 01.要約 1) CVE-2018-8174の概要 CVE-2018-8174の脆弱性は VBScript エンジンの…

JavaScript内に含まれたGandCrabランサムウェア(V3削除を誘導)

AhnLab ASECでは、国内に出回っているGandCrabランサムウェアの拡散プロセスを監視中に、GandCrab 拡散スクリプトから V3 Lite 製品の削除(Uninstall)を誘導する機能を発見した。(V3 Lite のみをターゲットにする) 拡散スクリプトは [図1] のように難読化された JavaScript が含まれており、難読化を解除すると [図2]…

[単独] GandCrab v4.1.2暗号化のブロック方法 (Kill-Switch) – Update(v4.1.3)

2018年7月9日、セキュリティベンダーのFortinetと、7月13日、アンラボにおいてGandCrab v4.1.1に対する暗号化のブロック方法を共有した。その後、7月17日に以下のようなGandCrab 4.1.2バージョンが新しく確認され、マルウェア内部にはFortinetとアンラボを嘲笑するかのようなフレーズが挿入されていた。 – “#fortinet & #ahnlab, mutex is also kill-switch not only lockfile ;)”…

Magniberランサムウェアの復旧ツール(ランダムベクトル復旧機能を含む)

従来のマグニバー(Magniber)ランサムウェア復旧ツールを GUI 形式に改善し、4月8日以降から確認された可変長のベクトルにより復旧が不可能な部分をサポートしている。(ただし、拡張子、キー情報と共に暗号化/復号ファイルのペアが存在する場合に限る) 新しい復旧ツールは暗号化の拡張子情報を入力しさえすれば該当するキー(Key)、ベクトル(IV)情報が表示される構造を持つ。拡張子に対するキー、ベクトル情報は復旧ツール内部に「magniber.db」という名前のデータベースファイルで管理され、アップデートを継続して提供していく予定である。(2019年10月現在は終了)もし拡張子入力後にキー、ベクトル情報が表示されない場合、復旧が不可能であり、「magniber.db」ファイルがアップデートされる必要がある。 [復旧ツールの使用方法] 1) 感染した PC に「MagniberDecrypt.exe」ファイルをダウンロードおよび実行します。 – 復旧時にドライブを自動で検知するため、インストールパスは重要ではありません。 2) 復旧ツールを実行すると、同じパスにインストールファイルが含まれるフォルダが生成され、自動でプログラムが実行されます。プログラムウィンドウが表示されたら、暗号化の拡張子を入力する部分に暗号化されたファイルの拡張子を入力して「OK」ボタンをクリックします。 事例(1)：拡張子を入力すると、Key…

国内にも拡散するGandCrabランサムウェア

最近知られるようになった新種のランサムウェア、GandCrab が国内で拡散している。このランサムウェアは、Exploit Kit により脆弱な Web サイトにアクセスすると感染する。最初に発見されて以降、現在まで継続的に拡散し続けている。 このランサムウェアに感染すると、ファイルの拡張子が .GDCB に変更され、GDCB-DECRYPT.txt ファイルが生成される。 GandCrab ランサムウェアが実行されると、自身を %appdata%\Microsoft\[Randomstr{6}].exe にコピーし、レジストリ登録によって…