復号化が可能な iswr ランサムウェアが韓国国内で拡散中 Posted By song.th , 2023年 March 9日 ASEC(AhnLab Security Emergency response Center)はモニタリング中に、iswr ランサムウェアが配布されていることを確認した。 iswr ランサムウェアは、ファイルの暗号化を行う際にファイル名の後ろに iswr という拡張子が追加で付与される特徴があり、このランサムウェアのランサムノートは STOP ランサムウェアと同じ形態を持っている。しかし、暗号化方式や、暗号化対象の拡張子およびフォルダーのようなランサムウェアの動作ルーティンが…
Magniber ランサムウェアのリトライ技法(Magniber) Posted By ohmintaek , 2023年 February 24日 ASEC(AhnLab Security Emergency response Center)は多数の配布数をほこる Magniber ランサムウェアをモニタリングし続けている。Magniber ランサムウェアは、ここ数年間で Internet Explorer の脆弱性によって拡散していたが、IE のサポート終了時期を基準に、IE…
Magniber ランサムウェア、韓国国内での配布再開(1/28) Posted By ohmintaek , 2023年 February 8日 ASEC 分析チームは1月28日の午前、Magniber ランサムウェアが正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。以下の図のように、当社のログシステムを通して確認した結果、1月27日を基準に配布量が増加したことを確認することができる。 MS.Update.Center.Security.KB17347418.msi MS.Update.Center.Security.KB2562020.msi…
TZW ランサムウェア、韓国国内で拡散中 Posted By kwonxx , 2023年 January 31日 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「TZW」を追加する TZW ランサムウェアが配布されていることを確認した。 このランサムウェアのバージョン情報上、「System Boot Info」と明示して Boot 情報関連のプログラムである正常なファイルに偽装して拡散している。 [図1] ファイルバージョン情報 .NET…
Magniber ランサムウェアの拡散中断 (11/29以降) Posted By Hansoyoung , 2022年 December 13日 AhnLab ASEC 分析チームは、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。このような対応を続けていたところ、11/29基準で Magniber ランサムウェアが拡散を中断した現状を捕捉した。 最近の Magniber ランサムウェアの製作者は、拡張子の変更、インジェクション、UAC 回避手法などの様々なアンチウィルス検知を回避する試みを行っており、ファイル、メモリ、AMSI 検知などをはじめとする、ASEC…
