ロッキーによる攻撃



Lockyは、最も広く拡散しそして活発に活動している悪意のあるランサムウェアのうちの1つです。これは数日前に登場した最新の脅威です。Microsoft’s Dynamic Data Exchange (DDE)を利用しているMicrosoft Wordマクロを含むスパムメールによって、Necursボットネットから配信されています。DDEは共有メモリとデータを使用してMS Officeファイルの電子転送を処理するWindowsの機能です。 

Lockyランサムウェアの新しいバージョン (MD5:1676f1817d6ed6d76fbde105f88e615a)は、 11月8日にコンパイルされ、次のソースからダウンロードできます。
hxxp://gulercin.com/HJGdyt73
hxxp://euriskosrl.it/HJGdyt73
hxxp://fgmindia.com/HJGdyt73

インストール
Lockyは、Microsoft Word文書に埋め込まれたスクリプトによってダウンロードされます。"%Temp%"フォルダに"svchost.exe"としてコピーします。



 
次に、 "%Temp%\svchost.exe"をメモリにマップし、"svchost.exe"として再起動します。


次に、元の Lockyファイルは、次のコマンドを使用して削除されます。

Cmd.exe / C del / Q / F “%TEMP%\ <RANDOM> .tmp

難読化
コードは非常に難読化されています。Lockyは偽のインポートアドレステーブルを持っています:

Cerberと同様に、コードは多数のJMP命令から始まります。

次に、ジャンクコードがあります:

API関数は、内部アドレステーブルとジャンク "nop"および "jmp"命令と混在したコードを使用して間接的に呼び出されます。

暗号化
Lockyは、ローカルおよびマップされたすべてのネットワークドライブ上のファイルを暗号化します。
最初に、ランサムウェアは次の拡張子を持つファイルのリストを作成します。

ms11 (Security copy), db_journal, plus_muhd, moneywell, pspimage, SQLITEDB, sqlitedb, backupdb, mapimail, sas7bdat, tar.bz2, SQLITE3, sqlite3, onetoc2, contact, litesql, litemod, config, design, ycbcra, backup, wallet, wallet, sqlite, groups, d3dbsp, laccdb, incpas, erbsql, psafe3, asset, class, ibank, asset, accdt, qcow2, accdr, pages, accde, accdb, qcow2, forge, nvram, blend, class, dotm, xlsm, docm, mpeg, save, potx, html, jpeg, 7zip, pptm, pptm, dotx, docx, flvv, vmdk, xltx, jpeg, sldx, java, ppsm, ms11, java, sldx, qcow, ppsx, m2ts, docb, aiff, potm, indd, pptm, xltm, xltm, xlam, xlsm, sldm, dotm, ppsx, vmxf, ppam, vmsd, potm, vmdk, flac, vhdx, docm, vbox, xlsb, s3db, safe, pptx, aspx, kpdx, xlsx, kdbx, ppsm, grey, mpeg, gray, djvu, djvu, tiff, ddrw, lay6, ddoc, sldm, craw, ppsm, cdrw, ppam, cdr6, potx, cdr5, pptx, cdr4, xltx, cdr3, xlsx, bank, xlsb, back, dotx, agdl, docx:wallet:dat, stc, wab, hwp, raw, max, wmv, CSV, 008, y, XLS, n64, ott, apk, p12, pas, sxc, std, st6, pdf, say, mkv, qbb, sav, pfx, tgz, pat, jar, oil, frm, key, pst, nsg, wb2, nsd, pst, iif, jpg, fff, mid, dtd, avi, dcr, mp3, dac, iwi, cr2, PAQ, cdx, svg, bkp, NEF, act, dch, xlt, mdf, xlm, sql, wps, 004, svg, sxm, r3d, sti, pcd, slk, max, rtf, fxg, ppt, eps, oab, drw, doc, db3, m4u, cpi, flv, cdr, mp4, aac, vob, wmv, swf, wav, vmx, thm, ltx, srt, bsa, sav, aes, psd, bak, odt, zip, mpg, png, mp3, jpg, mlb, cmd, mdf, brd, m3u, vbs, ldf, php, key, MYI, flv, dbf, dxf, 010, dds, 006, css, 002, cer, lay, avi, odg, asp, pot, aoi, otp, 3g2, wks, 1cd, xlc, xlt, xml, ots, yuv, DOT, xis, xml, x3f, RTF, x11, stw, wpd, DOC, wb2, crt, tex, stc, sxm, st4, sxi, qbm, sxg, ptx, sxd, pef, stx, pas, stw, odp, sti, nsh, std, nsf, st8, mos, st5, fpx, srw, fdb, srf, ddd, sr2, dbf, sdf, crt, sda, cgm, sd0, cdf, rwz, adp, rwl, xlw, rdb, xlr, raw, xla, rat, tga, raf, rw2, qby, pct, qbx, mdb, qbw, m4v, qbr, fla, qba, dxb, pot, dot, plc, cpp, pem, cls, pdd, arw, p7c, 3dm, p7b, wma, p12, vob, ott, swf, ots, sql, otp, pwm, oth, php, mp4, odm, mov, , 2, bak, nrw, asx, nop, asf, nk2, 3gp, nef, 3ds, ndd, zip, myd, xls, mrw, txt, mny, rar, mmw, prf, mfw, pps, mef, ods, mdc, msg, lua, jnt, kdc, dbx, kc2, m4a, jpe, m3u, iiq, wma, ibz, 3g2, ibd, 3gp, hbk, mov, gry, asf, fhd, mpg, ffd, fla, exf, wav, erf, vdi, eml, upk, dxg, re4, drf, lbf, dng, das, dgc, bik, des, gpg, der, ARC, dcs, tbk, dc2, tar, csl, rar, csh, djv, crw, bmp, cib, gif, ce2, cgm, ce1, tif, bpw, psd, bik, bat, bgt, asp, bdb, sch, bay, dip, awg, asm, cpp, apj, ldf, ait, ibd, ads, MYD, adb, odb, acr, mdb, ach, 011, ab4, 009, 3pr, 3fr, vmx, vhd, vdi, asc, stm, mml, st7, otg, rvt, uop, qed, sxd, png, pps, pif, sxi, pdb, odp, pab, 123, ost, wk1, ogg, xlw, ndf, xlm, mkv, dif, m4p, sxc, log, ods, hpp, 602, hdd, 3dm, gif, 3ds, edb, txt, dit, uot, dat, pdf, cmt, PPT, bmp, sxw, bin, pem, wad, csr, tlg, sxw, py, rb, fh, gz, nd, js, al, db, ps

例えば:

ハードコードされたRSA-2048のパブ リックキーをインポートします。

ここで:
1バイト:BLOBタイプ= PUBLICKEYBLOB(0x06)
2バイト:バージョン= CUR_BLOB_VERSION(0x02)
5-8バイト:アルゴリズムID = CALG_RSA_KEYX(0x0000A400)
9-20バイト:RSAPUBKEY {magic = 'RSA1'、キー長= 2048ビット、公開指数= 65537}
21-276バイト:キーデータ256バイト
Lockyは元のファイル名を "<ID> .asasin"に変更します。

次に、ファイルからデータを読み取ります。

埋め込みAESアルゴリズムを使用して128ビットのキーでファイルのコンテンツを暗号化します。

暗号化されたファイルのデータを元の名前を変更したファイルに書き込みます。

836バイトのブロック(フッター)に暗号化 されたファイルの名前とAES-128キーを追加します。

したがって、ファイル全体の暗号化プロセスは次のようになります。

暗号化されたファイルの内容は次のようになります。

フッター(836バイト)は、4バイトの Locky lebel= "8956FE93h"で始まります。

被害者のID = "JP70W9NS0DW7HAHG"となります。256バイトはMS CryptoAPIの助けを借りて行われたRSA-2048マスターパブリックキーで暗号化されたファイルのキーと同じになります:

フッターの残りの560バイトには、先頭に別のLocky lebel= "0D41BA12Ah"が含まれています。

そのファイルのデータの暗号化に使用されているのと同じ組み込みAES暗号アルゴリズムで暗号化されたファイル名である。これは、アンチウィルスの動作ブロッカーをバイパスするために行われます。

暗号化の後、暗号化されたファイルには次のデータブロックが含まれます。

バイト単位のサイズ データ
128ビット鍵のAES暗号アルゴリズムを使用して暗号化されたファイルコンテンツ
4 ロック・ラベル1 = "8956FE93h"
16 被害者のID
256 RSA-2048マスター公開鍵で暗号化された128ビットのファイルのキー
560 Locky lebel2 = "0D41BA12Ah"とファイル名を含む暗号化データ


暗号解読サービス
cryptolockerは、壁紙として設定された画像と、解読指示を持つhtmlページを作成し、ユーザーに表示します。
"HKCU \ Control Panel \ Desktop \"
"Wallpaper" = "%USER%\ Desktop \ asasin.bmp"

暗号解読サービス は、Torネットワークにあります。

このバージョンでは、C&Cとの通信は利用できません。

Acronis Active Protectionはこの脅威を停止させます
Acronis True Image 2018をテストしたところ、予想通り、新種のLockyランサムウェアを検出してブロックしました。ユーザーファイルの暗号化が容易かつ確実に保護されていることを示します。

Acronisデータ保護ソリューションには、ランサムウェア(Acronis Active Protection)に対するアクティブな保護機能が組み込まれています。個人向けバックアップソフトAcronis True Image 2018、 法人向けAcronis Backup 12.5、サービスプロバイダー様向け Acronis Backup Cloudをご利用の場合は、Acronis Active Protectionが有効になっていることを必ず確認してください。ランサムウェアの脅威を検出し、攻撃をブロックし、影響を受けるデータを復元します。