ランサムウェア対策「Acronis Active Protection」は見逃さない。検出されないPowerShellを利用したランサムウェアもブロック

検出されないPowerShellを利用した巧妙なランサムウェアも、Acronis Active Protectionは見逃しません。


新たなランサムウェアの亜種は、PowerShellを利用し、スピア型フィッシングメールによって拡大し検出を回避しました。NioGuard Security Labによると、多くのマルウェアなどのウイルス対策ソフトウェアなどでは、次世代のランサムウェア攻撃に対しての準備ができていない状況です。そういった中でAcronisは、最近のゼロデイ・ランサムウェア攻撃の検出とブロックに成功しています。
Virustotalは、2017年7月9日時点での検出率を、ウイルス対策ソフト57製品のうち掲出できた製品はなかったと発表しています。


2日後にも同様にテストされましたが、テストされたマルウェア対策プログラムの半分以上が、このタイプの危険なランサムウェアを検出できませんでした。
 


ランサムウェアはどのようにして広がるのか
悪質なJS(Readable Msg-j8k5b798d4.js)は、迷惑メールフィルタによってブロックされた文字を含む、偽の配信状況通知電子メールに添付されたZIPアーカイブ (EML_j8k5b798d4.zip)で配信されます。

 

ユーザーがひとたび実行してしまうと、 JavaScriptはPowerShellコンソールを起動し、そのオブジェクトを解読したシェルスクリプトをPowerShellコンソールに送信します。

"C:¥Windows¥system32¥ windowspowershell¥v1.0¥powershell.exe" iex $ env:LoadShellCodeScript



データの暗号化
まず、3つのランダムなBase64のような文字列が生成されます。
•    String1
•    String2
•    UUID
 


これらの文字列は、リモートサーバーに送信され、Rijndaelキーを生成するために使用されます。
Rijndaelキーは 'Rfc2898DeriveBytes'クラスを使用して生成されます。コンストラクタは、次のパラメータを受け入れて暗号オブジェクトを作成します。
•    string1 - キーを派生させるために使用されるパスワード。
•    hex_byte_array(string2) - キーを派生させるために使用されるキーソルト。
•    5 - Rijndaelキーを生成するための反復回数。
初期化ベクトル(IV)は、'alle'から SHA-1ハッシュの最初の16バイトとして計算されます。IVとキーは、すべてのファイルで同じです。これは、256ビットのキーとCBCモードを用い たRijndael暗号化アルゴリズムを使用しています。



cryptolockerは、ファイルの最初の4096バイトを暗号化します。ファイルサイズが大きい場合は、ファイルサイズが小さい場合はファイル全体が暗号化されます。
 


ランサムウェアは、Base64文字列からデコードされ、最後に個人IDが追加されます。ID自体は早い段階でランダムに生成されます。'_README-Encrypted- Files.html'という名前の身代金メモを含むhtmlファイルは、暗号化されたファイルを含むフォルダにドロップされます。
 


PowerShellランサムウェアは、次の拡張子を持つファイルを暗号化します。

yuv, ycbcra, xis, x3f, x11, wpd, tex, sxg, stx, st8, st5, srw, srf, sr2, sqlitedb, sqlite3, sqlite, sdf, sda, sd0, s3db, rwz, rwl, rdb, rat, raf, qby, qbx, qbw, qbr, qba, py, psafe3, plc, plus_muhd, pdd, p7c, p7b, oth, orf, odm, odf, nyf, nxl, nx2, nwb, ns4, ns3, ns2, nrw, nop, nk2, nef, ndd, myd, mrw, moneywell, mny, mmw, mfw, mef, mdc, lua, kpdx, kdc, kdbx, kc2, jpe, incpas, iiq, ibz, ibank, hbk, gry, grey, gray, fhd, fh, ffd, exf, erf, erbsql, eml, dxg, drf, dng, dgc, des, der, ddrw, ddoc, dcs, dc2, db_journal, csl, csh, crw, craw, cib, ce2, ce1, cdrw, cdr6, cdr5, cdr4, cdr3, bpw, bgt, bdb, bay, bank, backupdb, backup, back, awg, apj, ait, agdl, ads, adb, acr, ach, accdt, accdr, accde, ab4, 3pr, 3fr, vmxf, vmsd, vhdx, vhd, vbox, stm, st7, rvt, qcow, qed, pif, pdb, pab, ost, ogg, nvram, ndf, m4p, m2ts, log, hpp, hdd, groups, flvv, edb, dit, dat, cmt, bin, aiff, xlk, wad, tlg, st6, st4, say, sas7bdat, qbm, qbb, ptx, pfx, pef, pat, oil, odc, nsh, nsg, nsf, nsd, nd, mos, indd, iif, fpx, fff, fdb, dtd, design, ddd, dcr, dac, cr2, cdx, cdf, blend, bkp, al, adp, act, xlr, xlam, xla, wps, tga, rw2, r3d, pspimage, ps, pct, pcd, m4v, fxg, flac, eps, dxb, drw, dot, db3, cpi, cls, cdr, arw, ai, aac, thm, srt, save, safe, rm, pwm, pages, obj, mlb, md, mbx, lit, laccdb, kwm, idx, html, flf, dxf, dwg, dds, csv, css, config, cfg, cer, asx, aspx, aoi, accdb, 7zip, 1cd, xls, wab, rtf, prf, ppt, oab, msg, mapimail, jnt, doc, dbx, contact, n64, m4a, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3, qcow2, vdi, vmdk, vmx, wallet, upk, sav, re4, ltx, litesql, litemod, lbf, iwi, forge, das, d3dbsp, bsa, bik, asset, apk, gpg, aes, ARC, PAQ, tar.bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, djv, djvu, svg, bmp, png, gif, raw, cgm, jpeg, jpg, tif, tiff, NEF, psd, cmd, bat, sh, class, jar, java, rb, asp, cs, brd, sch, dch, dip, pl, vbs, vb, js, asm, pas, cpp, php, ldf, mdf, ibd, MYI, MYD, frm, odb, dbf, db, mdb, sql, SQLITEDB, SQLITE3, 011, 010, 009, 008, 007, 006, 005, 004, 003, 002, 001, pst, onetoc2, asc, lay6, lay, ms11, sldm, sldx, ppsm, ppsx, ppam, docb, mml, sxm, otg, odg, uop, potx, potm, pptx, pptm, std, sxd, pot, pps, sti, sxi, otp, odp, wb2, 123, wks, wk1, xltx, xltm, xlsx, xlsm, xlsb, slk, xlw, xlt, xlm, xlc, dif, stc, sxc, ots, ods, hwp, 602, dotm, dotx, docm, docx, DOT, 3dm, max, 3ds, xml, txt, CSV, uot, RTF, pdf, XLS, PPT, stw, sxw, ott, odt, DOC, pem, p12, csr, crt, key

 
C&Cコミュニケーション
PowerShellスクリプトは、HTTP プロトコルを使用してチェックイン要求をリモートサーバーhxxp://joelosteel.gdn/pi.phpに送信します。リクエストには3つの文字列(パスワード、ソルト、UUID)が含まれています。最初の2つは、暗号化キーを作成するために使用されます。
 


チェックイン要求が送信されると、スクリプトは2分間スリープしてファイルの暗号化に進みます。
リモートサーバーのIPはDigitalOcean、LLCに登録されており、米国ニューヨーク市にあります。
 




解読サービスは、Torネットワークでホストされています。
http://5zzfhzftspadlgje.onion.to
このレポートを作成した時点で、解読サービスはありませんでした。

シャドウコピーの削除
最後に、スクリプトはファイルのシャドウコピーを削除します。



まとめ
•    難読化されたスクリプト(JS、PowerShell)を使用することで、ランサムウェアは簡単にウイルス対策保護を回避します。
•    ランサムウェアは、スピアフィッシング電子メールを使用して標的攻撃としてきます。
•    PowerShell cryptolockerは、キー長256ビットのRijndael暗号化アルゴリズムを使用します。キーを引き出すために使用された文字列は、攻撃者に送信されます。したがって、犠牲者はISPのHTTPトラフィックダンプにアクセスすることなくファイルを解読することはできません。
•    ランサムウェアは、ファイルのシャドウコピー(バックアップバージョン)を削除します。
 
ランサムウェアPowerShellをAcronis True Imageはブロック
Acronis True Imageは、暗号化攻撃をブロックしユーザーが影響を受けるファイルを復元することが可能です。
1. Acronis True Imageに搭載されたランサムウェア対策「Acronisu Active Protection」が、ランサムウェアのアクティビティを検出します。
 


2. [ファイルを復元する]ボタンをクリックすると、影響を受けたファイルが復元されます。
 


ファイルを正常に復元
 

ランサムウェア対策機能「Acronis Active Protection」搭載のAcronis True Image 2017 New Generationを今すぐお試しください。