Quick Heal Security Labsは、ここ数ヶ月、.NET Frameworkで構築されたランサムウェアの増加を観察してきました。 サムサム, ライム そして今、Shrug が .NET Framework で構築されていることが判明しました。マルウェア作成者は、他のコンパイラで作成するよりも、.NET Framework でマルウェアを構築し難読化するのが非常に簡単であることに気づいています。
クイックヒールセキュリティラボは、新しいランサムウェアを発見しました。 肩をすくめる2このランサムウェアは、ファイルの復号と引き換えにビットコインで70ドルの身代金を要求します。
このランサムウェアの感染経路はまだ不明ですが、このファイルはフィッシングメール、RDP ブルートフォース攻撃、マルバタイジング、他のファイルとのバンドルなどを通じて被害者のマシンに届く可能性があります。
テクニカル分析
このランサムウェアは、ファイルの暗号化を開始する前に、次の URL への接続を試みることで、アクティブなインターネット接続を無限ループでチェックします。
「hxxp://clients3[.]グーグル[.]com/generate_204
被害者のシステムでアクティブなインターネット接続が見つかった場合、システムが以前に「シュルグ2以下のレジストリエントリをチェックして、「」を確認します。
「HKCU\シュラッグツー
システムが感染していない場合は、「シュラッグツー 下 フク 図3に示すように、それぞれの値を追加します。
識別する: ログオンしたユーザーのユーザー名に10000から99999までのランダムに生成された数字を付加して生成されます。
例えば。 ユーザー名/25413
インストール日: ランサムウェアが被害者のシステムに感染した日時。この日時は、図15に示すように、ランサムウェアがファイルの復号に残された時間を表示するために利用されます。
クライキー: ファイルの暗号化に使用されるランダムに生成された AES256 ビット キー。
泣きIV : ファイルの暗号化に使用されるランダムに生成された初期化ベクトル。
その後、マルウェアは以下のコマンドを実行し、%CD%内のディレクトリとサブディレクトリへのすべての権限を付与します。このコマンドは、WannaCryランサムウェアでも使用されていたことが確認されています。
cacls . /grant 全員:F /T /C /Q
他のランサムウェアと同様に、被害者のシステム上の復元ポイントも削除します。このために、ランサムウェアの復元ポイント削除のような単純な方法は使用しません。
vssadmin シャドウの削除 /all /quiet & wmic シャドウコピーの削除
むしろ、非常に珍しい技術を使って srクライアント.SRRemoveRestorePoint 以下のように:
このランサムウェアは、約76種類の拡張子を持つファイルを暗号化します。拡張子のリストは以下の通りです。
txt、.docx、.xls、.doc、.xlsx、.ppt、.pptx、.odt、.jpg、.png、.jpeg、.csv、.mdb、.db、.sln、.html、.php、.asp、.aspx、.html、.xml、.json、.dat、.cpp、.cs、.c、.js、.java、.mp4、.ogg、.mp3、.wmv、.avi、.gif、.mpeg、.msi、.rar、.7zip、.z、.apk、.yml、.qml、.py3、.aif、.cda、.mpa、.wpl、.mid、.pkg、.deb、.arj、.rpm、 .gz、.dbf、.yml、.tar、.pl、.rb、.ico、.tif、.asp、.xhtml、.rss、.jsp、.htm、.o、.zip、.midi、.tiff、.tiff、.midi、.zip、.tar.gz、.pyw、.bmp、.sql、.psd、.7z”
ランサムウェアは、C:\\ドライブに存在する上記の拡張子を持つすべてのファイルを列挙し、「ファイルトゥハミングこのリストは後でファイルの暗号化に使用されます。
同様のリストは「ハームドファイル 拡張子が「.」の暗号化されたファイルのファイル パスが含まれています。シュルグ2要求された身代金が支払われるか、ファイルの復号時間が経過すると、「リスト」が作成されます。このリストは、ファイルの復号または削除に使用されます。
このランサムウェアはAES256アルゴリズムを使用して CBC(暗号ブロック連鎖) 列挙されたファイルを暗号化するモード。このモードでは、 キー と一緒に 初期化ベクトル(IV).
図 10 に示すコードは、以下のリストを作成するために使用され、そこから 32 文字がランダムに選択され、AES 256 ビット キーとして使用されます。
「ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789
同様に、図 11 に示すコードは、以下のリストを作成するために使用され、そこから 16 文字がランダムに選択され、AES 128 ビット IV として使用されます。
「ZYXWVUTSRQPONMLKJIHGFEDCBAzyxwvutsrqponmlkjihgfedcba9876543210
以前に生成されたキーとIVは、「ファイルトゥハミング リスト。ランサムウェアは「.SHRUG2 暗号化後のファイルに。
ファイルを暗号化するために、ランサムウェアはファイルデータを128ビットのチャンク単位で選択します。このデータチャンクは、事前に生成されたキーとIVを使用してCBCモードで暗号化されます。
リスト内のすべてのファイルが「「FilesToHarm」 暗号化されると、このランサムウェアは、識別子、インストール日、cryKey、cryIV などの生成されたすべての情報を、ファイル内に存在する以下の CnC URL に送信します。
hxxp://tempacc11vl[.]000webhostapp[.]com/marthas_stuff/uphash[.]php
その後、ランサムウェアはデスクトップに「@ShrugDecryptor@このショートカットに名前が付けられているのは、被害者を騙すためです。
ショートカットを作成すると、身代金要求メッセージの下に、ファイルの暗号化解除に残された時間と、ランサムウェア作成者のビットコイン ウォレット アドレスが表示されます。
ランサムウェアは、ファイルの暗号化に加えて、ファイルの復号化やファイルの削除などの他のアクティビティも実行できます。
ファイルは、マルウェア作成者のウォレットアドレス「1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx"。
指定された期間内に身代金が支払われない場合、暗号化されたファイルはすべて削除されます。
暗号化されたファイルの削除に成功すると、このランサムウェアは自身の痕跡もすべて削除します。DeleteSubKeyはレジストリを削除します。HKCU\シュラッグツー” と入力し、自身を削除するプロセスを作成します。
侵害の兆候:
MD5: 04112aec47401c3d91a92cfdf9de02e6
レジストリ: HKCU\ShrugTwo
ビットコインウォレットアドレス: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
URL:
hxxp://clients3[.]google[.]com/generate_204
hxxp://tempacc11vl[.]000webhostapp[.]com/marthas_stuff/upoldhash[.]php
クイックヒール Shrug2ランサムウェアを「ランサム.シュラッグ.ZZ1
予防のヒント
- 重要なデータを定期的に HDD、ペンドライブ、クラウド ストレージなどの外付けドライブにバックアップしてください。
- ウイルス対策ソフトをインストールし、常に最新の状態に保ってください。
- オペレーティング システムとソフトウェアを最新の状態に保ってください。
- 不明なソースや望ましくないソースからのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
主題専門家
Piyush Bansal、Pratik Pachpor | クイックヒールセキュリティラボ
