戻る
2017年11月17日  —  Acronis
サイバーセキュリティ

ロッキーによる攻撃

Acronis Cyber Disaster Recovery
今すぐ試用

Lockyは、最も広く拡散しそして活発に活動している悪意のあるランサムウェアのうちの1つです。これは数日前に登場した最新の脅威です。Microsoft’s Dynamic Data Exchange (DDE)を利用しているMicrosoft Wordマクロを含むスパムメールによって、Necursボットネットから配信されています。DDEは共有メモリとデータを使用してMS Officeファイルの電子転送を処理するWindowsの機能です。  Lockyランサムウェアの新しいバージョン (MD5:1676f1817d6ed6d76fbde105f88e615a)は、 11月8日にコンパイルされ、次のソースからダウンロードできます。 hxxp://gulercin.com/HJGdyt73 hxxp://euriskosrl.it/HJGdyt73 hxxp://fgmindia.com/HJGdyt73 インストール Lockyは、Microsoft Word文書に埋め込まれたスクリプトによってダウンロードされます。"%Temp%"フォルダに"svchost.exe"としてコピーします。

Acronis

  次に、 "%Temp%\svchost.exe"をメモリにマップし、"svchost.exe"として再起動します。 次に、元の Lockyファイルは、次のコマンドを使用して削除されます。

Acronis
Acronis
Acronis
Cmd.exe / C del / Q / F “%TEMP%\ <RANDOM> .tmp

難読化 コードは非常に難読化されています。Lockyは偽のインポートアドレステーブルを持っています:

Acronis

Cerberと同様に、コードは多数のJMP命令から始まります。

Acronis

次に、ジャンクコードがあります:

Acronis

API関数は、内部アドレステーブルとジャンク "nop"および "jmp"命令と混在したコードを使用して間接的に呼び出されます。

Acronis

暗号化 Lockyは、ローカルおよびマップされたすべてのネットワークドライブ上のファイルを暗号化します。 最初に、ランサムウェアは次の拡張子を持つファイルのリストを作成します。

ms11 (Security copy), db_journal, plus_muhd, moneywell, pspimage, SQLITEDB, sqlitedb, backupdb, mapimail, sas7bdat, tar.bz2, SQLITE3, sqlite3, onetoc2, contact, litesql, litemod, config, design, ycbcra, backup, wallet, wallet, sqlite, groups, d3dbsp, laccdb, incpas, erbsql, psafe3, asset, class, ibank, asset, accdt, qcow2, accdr, pages, accde, accdb, qcow2, forge, nvram, blend, class, dotm, xlsm, docm, mpeg, save, potx, html, jpeg, 7zip, pptm, pptm, dotx, docx, flvv, vmdk, xltx, jpeg, sldx, java, ppsm, ms11, java, sldx, qcow, ppsx, m2ts, docb, aiff, potm, indd, pptm, xltm, xltm, xlam, xlsm, sldm, dotm, ppsx, vmxf, ppam, vmsd, potm, vmdk, flac, vhdx, docm, vbox, xlsb, s3db, safe, pptx, aspx, kpdx, xlsx, kdbx, ppsm, grey, mpeg, gray, djvu, djvu, tiff, ddrw, lay6, ddoc, sldm, craw, ppsm, cdrw, ppam, cdr6, potx, cdr5, pptx, cdr4, xltx, cdr3, xlsx, bank, xlsb, back, dotx, agdl, docx:wallet:dat, stc, wab, hwp, raw, max, wmv, CSV, 008, y, XLS, n64, ott, apk, p12, pas, sxc, std, st6, pdf, say, mkv, qbb, sav, pfx, tgz, pat, jar, oil, frm, key, pst, nsg, wb2, nsd, pst, iif, jpg, fff, mid, dtd, avi, dcr, mp3, dac, iwi, cr2, PAQ, cdx, svg, bkp, NEF, act, dch, xlt, mdf, xlm, sql, wps, 004, svg, sxm, r3d, sti, pcd, slk, max, rtf, fxg, ppt, eps, oab, drw, doc, db3, m4u, cpi, flv, cdr, mp4, aac, vob, wmv, swf, wav, vmx, thm, ltx, srt, bsa, sav, aes, psd, bak, odt, zip, mpg, png, mp3, jpg, mlb, cmd, mdf, brd, m3u, vbs, ldf, php, key, MYI, flv, dbf, dxf, 010, dds, 006, css, 002, cer, lay, avi, odg, asp, pot, aoi, otp, 3g2, wks, 1cd, xlc, xlt, xml, ots, yuv, DOT, xis, xml, x3f, RTF, x11, stw, wpd, DOC, wb2, crt, tex, stc, sxm, st4, sxi, qbm, sxg, ptx, sxd, pef, stx, pas, stw, odp, sti, nsh, std, nsf, st8, mos, st5, fpx, srw, fdb, srf, ddd, sr2, dbf, sdf, crt, sda, cgm, sd0, cdf, rwz, adp, rwl, xlw, rdb, xlr, raw, xla, rat, tga, raf, rw2, qby, pct, qbx, mdb, qbw, m4v, qbr, fla, qba, dxb, pot, dot, plc, cpp, pem, cls, pdd, arw, p7c, 3dm, p7b, wma, p12, vob, ott, swf, ots, sql, otp, pwm, oth, php, mp4, odm, mov, , 2, bak, nrw, asx, nop, asf, nk2, 3gp, nef, 3ds, ndd, zip, myd, xls, mrw, txt, mny, rar, mmw, prf, mfw, pps, mef, ods, mdc, msg, lua, jnt, kdc, dbx, kc2, m4a, jpe, m3u, iiq, wma, ibz, 3g2, ibd, 3gp, hbk, mov, gry, asf, fhd, mpg, ffd, fla, exf, wav, erf, vdi, eml, upk, dxg, re4, drf, lbf, dng, das, dgc, bik, des, gpg, der, ARC, dcs, tbk, dc2, tar, csl, rar, csh, djv, crw, bmp, cib, gif, ce2, cgm, ce1, tif, bpw, psd, bik, bat, bgt, asp, bdb, sch, bay, dip, awg, asm, cpp, apj, ldf, ait, ibd, ads, MYD, adb, odb, acr, mdb, ach, 011, ab4, 009, 3pr, 3fr, vmx, vhd, vdi, asc, stm, mml, st7, otg, rvt, uop, qed, sxd, png, pps, pif, sxi, pdb, odp, pab, 123, ost, wk1, ogg, xlw, ndf, xlm, mkv, dif, m4p, sxc, log, ods, hpp, 602, hdd, 3dm, gif, 3ds, edb, txt, dit, uot, dat, pdf, cmt, PPT, bmp, sxw, bin, pem, wad, csr, tlg, sxw, py, rb, fh, gz, nd, js, al, db, ps

例えば:

Acronis

ハードコードされたRSA-2048のパブ リックキーをインポートします。

Acronis

ここで: 1バイト:BLOBタイプ= PUBLICKEYBLOB(0x06) 2バイト:バージョン= CUR_BLOB_VERSION(0x02) 5-8バイト:アルゴリズムID = CALG_RSA_KEYX(0x0000A400) 9-20バイト:RSAPUBKEY {magic = 'RSA1'、キー長= 2048ビット、公開指数= 65537} 21-276バイト:キーデータ256バイト Lockyは元のファイル名を "<ID> .asasin"に変更します。 次に、ファイルからデータを読み取ります。

Acronis

埋め込みAESアルゴリズムを使用して128ビットのキーでファイルのコンテンツを暗号化します。

Acronis

暗号化されたファイルのデータを元の名前を変更したファイルに書き込みます。

Acronis

836バイトのブロック(フッター)に暗号化 されたファイルの名前とAES-128キーを追加します。

Acronis

したがって、ファイル全体の暗号化プロセスは次のようになります。

Acronis

暗号化されたファイルの内容は次のようになります。

Acronis

フッター(836バイト)は、4バイトの Locky lebel= "8956FE93h"で始まります。

Acronis

被害者のID = "JP70W9NS0DW7HAHG"となります。256バイトはMS CryptoAPIの助けを借りて行われたRSA-2048マスターパブリックキーで暗号化されたファイルのキーと同じになります:

Acronis

Acronis

フッターの残りの560バイトには、先頭に別のLocky lebel= "0D41BA12Ah"が含まれています。

Acronis

そのファイルのデータの暗号化に使用されているのと同じ組み込みAES暗号アルゴリズムで暗号化されたファイル名である。これは、アンチウィルスの動作ブロッカーをバイパスするために行われます。 暗号化の後、暗号化されたファイルには次のデータブロックが含まれます。

バイト単位のサイズ
データ
128ビット鍵のAES暗号アルゴリズムを使用して暗号化されたファイルコンテンツ
4
ロック・ラベル1 = "8956FE93h"
16
被害者のID
256
RSA-2048マスター公開鍵で暗号化された128ビットのファイルのキー
560
Locky lebel2 = "0D41BA12Ah"とファイル名を含む暗号化データ

暗号解読サービス cryptolockerは、壁紙として設定された画像と、解読指示を持つhtmlページを作成し、ユーザーに表示します。 "HKCU \ Control Panel \ Desktop \" "Wallpaper" = "%USER%\ Desktop \ asasin.bmp"

Acronis

Acronis

Acronis

暗号解読サービス は、Torネットワークにあります。

Acronis

このバージョンでは、C&Cとの通信は利用できません。 Acronis Active Protectionはこの脅威を停止させます Acronis True Image 2018をテストしたところ、予想通り、新種のLockyランサムウェアを検出してブロックしました。ユーザーファイルの暗号化が容易かつ確実に保護されていることを示します。

Acronis

Acronisデータ保護ソリューションには、ランサムウェア(Acronis Active Protection)に対するアクティブな保護機能が組み込まれています。個人向けバックアップソフトAcronis True Image 2018、 法人向けAcronis Backup 12.5、サービスプロバイダー様向け Acronis Backup Cloudをご利用の場合は、Acronis Active Protectionが有効になっていることを必ず確認してください。ランサムウェアの脅威を検出し、攻撃をブロックし、影響を受けるデータを復元します。

Acronis

アクロニスについて

アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。

サイバーセキュリティ サイバープロテクション

アクロニスのその他の情報

2024年4月30日  — 3 分で読めます
Acronis
2024年4月30日  — 3 分で読めます
5月27日「 ITmedia Security Week 2024 春 」にて講演を行います
およそ全てのビジネスがデジタル前提となり、システム/データとそれらへのアクセスが社内外で入り乱れるようになった中、企業には自社を守る「今に即した仕組み」が求められています。 特に昨今はランサムウェア、サプライチェーン攻撃などに加え、生成AIも新たな攻撃手段・対象となり、ChatGPTのアカウントがダークウェブで売買される、生成AIでマルウェアを生成するといった問題が既に起きています。攻撃自体が進化、拡大する中、対策を常に確認、アップデートし続けることが一層強く求められているのです。ITmedia Security Week 2024 春では「侵入前提で守る仕組み」の確認点を総ざらい。「今、不可欠な視点」を提供します。
2024年4月25日  — 6 分で読めます
Acronis
2024年4月25日  — 6 分で読めます
NIST サイバーセキュリティフレームワーク 2.0の主な変更点について
2014の公表以来、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF) は、組織のサイバーセキュリティへのアプローチにおいて重要な役割を果たしています。以前のフレームワークでは、特定、防御、検知、対応、復旧の5つの機能の下で標準、ガイドライン、ベストプラクティスが特定されていました。
2024年4月19日  — 4 分で読めます
Acronis
2024年4月19日  — 4 分で読めます
AV-TestがAcronis Cyber Protect CloudをWindowsセキュリティのトップ製品に認定
Acronis Cyber Protect Cloud with Advanced Security + EDRは、AV-TestによるWindowsコーポレートセキュリティ製品カテゴリの定期公開認証に参加し、1月~2月のラウンドの結果、トップ製品として認定されました。
2024年4月16日  — 6 分で読めます
Acronis
2024年4月16日  — 6 分で読めます
アクロニスとインターネットイニシアティブ:グローバルITにおける強力なパートナーシップ
株式会社インターネットイニシアティブ (IIJ) は、「IT資産保護」のための信頼できるセキュリティパートナーとしてアクロニスを選択しました。これは、同社の「IIJセキュアエンドポイントサービス」を拡張し、エンドポイントリカバリとウイルス対策保護を特徴とするIIJのサービスです。この提携は、主要なセキュリティベンダーとしてのアクロニスのグローバルなリーチと認知度を示すだけでなく、包括的なサイバープロテクションソリューションによるセキュリティ強化へのIIJの取り組みを強化するものです。このパートナーシップは、IIJのクライアントの最も差し迫った課題である、高度化と標的化を続けるIT環境への脅威への対処に焦点を当てています。