JCry – Golang で書かれたランサムウェア!

QH Labsは数ヶ月にわたり、ランサムウェア活動の増加を観察してきました。Go言語で書かれた新しいランサムウェアを発見しました。マルウェア作成者は、Go言語で簡単にランサムウェアを作成できるようになっているのです。 ランサムウェア 従来のプログラミング言語ではなく、Go 言語で。

Jcry ランサムウェアの感染は、侵害された Web サイトから始まります。

上の画像に示すように、マルウェア作成者はAdobe Flash Playerのアップデートを装ってユーザーになりすまし、ユーザーのマシンにマルウェアをダウンロードしようとします。図1には、侵害されたドメインでホストされているJavaScriptの一部が含まれており、指定されたURLから悪意のあるファイルをダウンロードします。なりすましユーザーが「アップデート」ボタンをクリックし、Flash Playerをアップデートする目的で悪意のあるファイルを実行すると、マルウェアが実行を開始します。

実行フロー:

テクニカル分析：

ダウンロードされたマルウェア（flashplayer_install.exe）は自己解凍型アーカイブです。実行すると、以下のコンポーネントが「スタートアップ」ディレクトリに抽出され、永続化されます。

コンポーネント：

1. メッセージ.vbs
2. Enc.exe
3. Dec.exe

上図に示すように、マルウェアはコンポーネントを抽出し、enc.exe(Encryptor)とともにmsg.vbsを起動します。

メッセージ.vbs:

このファイルは、システムが Adob​​e Flash Player を更新しようとしたが、ユーザーのアクセスが拒否されたというユーザーになりすますために使用されます。

Enc.exe (暗号化プログラム):

この実行ファイルはファイルの暗号化を担当し、Go 言語で書かれています。

実行時に、まず現在のディレクトリに「personalKey.txt」ファイルが存在するかどうかを確認し、システムが既に感染しているかどうかを判断します。ファイルが存在する場合、マルウェアはシステムが既に感染していると判断し、自身を終了します。また、復号ファイルを使用してmsg.vbsとEnc.exeを削除します。暗号化には、AESとRSAアルゴリズムの組み合わせを使用します。ファイルの暗号化は、128バイトの初期化ベクトルを持つCBCモードの16ビットAESアルゴリズムを使用して実行されます。enc.exeファイルには、ハードコードされたRSA公開鍵が含まれており、後でAES鍵の暗号化に使用されます。

 

以下にリストされている 138 個の拡張ファイルを暗号化します。

3dm、3ds、3g2、3gp、7z、ai、aif、apk、app、asf、asp、avi、b、bak、bin、bmp、c、cbr、cer、cfg、cfm、cgi、cpp、crx、cs、csr、css、csv、cue、dat、db、dbf、dcr、dds、deb、dem、der、dmg、dmp、doc、dtd、dwg、dxf、eps、fla、flv、fnt、fon、gam、ged、gif、gpx、gz、h、hqx、htm、ics、iff、iso、jar、jpg、js、jsp、key、kml、kmz、log、lua、m、m3u、m4a、m4v、 max、mdb、mdf、mid、mim、mov、mp3、mp4、mpa、mpg、msg、msi、nes、obj、odt、otf、pct、pdb、pdf、php、pkg、pl、png、pps、ppt、ps、psd、py、rar、rm、rom、rpm、rss、rtf、sav、sdf、sh、sln、sql、srt、svg、swf、tar、tex、tga、thm、tif、tmp、ttf、txt、uue、vb、vcd、vcf、vob、wav、wma、wmv、wpd、wps、wsf、xlr、xls、xml、yuv、zip

暗号化を高速化するため、1MBを超えるファイルの場合は1MBのデータのみを暗号化します。ファイルの暗号化に成功すると、ファイル名に「.jcry」拡張子が付加されます。

ファイルの暗号化後、以下のコマンドを使用してすべてのシャドウ コピーを削除します。

                                                                  「vssadmin シャドウの削除 /all」

Powershell コマンドを使用して Dec.exe を起動します。

Dec.exe:

Dec.exe を実行すると、まず enc.exe が終了し、削除されます。Dec.exe は、復号キー（RSA 秘密鍵）を要求するコンソールアプリケーションです。有効なキーを入力すると、暗号化されたファイルを復号できます。

また、デスクトップに身代金要求メッセージを表示します。暗号化されたファイルを復元するには500ドルの身代金が必要で、感染したユーザーは支払い後に秘密鍵を取得できるOnionリンク（hxxp://kpx5wgcda7ezqjty.onion）が提供されます。

 

IOC：

flashplayer_install.exe: c86c75804435efc380d7fc436e344898
Enc.exe : 5B640BE895C03F0D7F4E8AB7A1D82947
Dec.exe : 6B4ED5D3FDFEFA2A14635C177EA2C30D
回復リンク: hxxp://kpx5wgcda7ezqjty.onion
ウォレットID: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt

 

予防のヒント：

1. 重要なデータを定期的に HDD、ペンドライブ、クラウド ストレージなどの外付けドライブにバックアップしてください。
2. ウイルス対策ソフトをインストールし、常に最新の状態に保ってください。
3. オペレーティング システムとソフトウェアを最新の状態に保ってください。
4. 不明なソースや望ましくないソースからのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。

主題専門家：

ナゲシュ・ラタカール、プラティク・パチポル |クイックヒールセキュリティラボ