ロッキーによる攻撃

Acronis Cyber Disaster Recovery

Lockyは、最も広く拡散しそして活発に活動している悪意のあるランサムウェアのうちの1つです。これは数日前に登場した最新の脅威です。Microsoft’s Dynamic Data Exchange (DDE)を利用しているMicrosoft Wordマクロを含むスパムメールによって、Necursボットネットから配信されています。DDEは共有メモリとデータを使用してMS Officeファイルの電子転送を処理するWindowsの機能です。  Lockyランサムウェアの新しいバージョン (MD5:1676f1817d6ed6d76fbde105f88e615a)は、 11月8日にコンパイルされ、次のソースからダウンロードできます。 hxxp://gulercin.com/HJGdyt73 hxxp://euriskosrl.it/HJGdyt73 hxxp://fgmindia.com/HJGdyt73 インストール Lockyは、Microsoft Word文書に埋め込まれたスクリプトによってダウンロードされます。"%Temp%"フォルダに"svchost.exe"としてコピーします。

Acronis

  次に、 "%Temp%\svchost.exe"をメモリにマップし、"svchost.exe"として再起動します。 次に、元の Lockyファイルは、次のコマンドを使用して削除されます。

Acronis
Acronis
Acronis
Cmd.exe / C del / Q / F “%TEMP%\ <RANDOM> .tmp

難読化 コードは非常に難読化されています。Lockyは偽のインポートアドレステーブルを持っています:

Acronis

Cerberと同様に、コードは多数のJMP命令から始まります。

Acronis

次に、ジャンクコードがあります:

Acronis

API関数は、内部アドレステーブルとジャンク "nop"および "jmp"命令と混在したコードを使用して間接的に呼び出されます。

Acronis

暗号化 Lockyは、ローカルおよびマップされたすべてのネットワークドライブ上のファイルを暗号化します。 最初に、ランサムウェアは次の拡張子を持つファイルのリストを作成します。

ms11 (Security copy), db_journal, plus_muhd, moneywell, pspimage, SQLITEDB, sqlitedb, backupdb, mapimail, sas7bdat, tar.bz2, SQLITE3, sqlite3, onetoc2, contact, litesql, litemod, config, design, ycbcra, backup, wallet, wallet, sqlite, groups, d3dbsp, laccdb, incpas, erbsql, psafe3, asset, class, ibank, asset, accdt, qcow2, accdr, pages, accde, accdb, qcow2, forge, nvram, blend, class, dotm, xlsm, docm, mpeg, save, potx, html, jpeg, 7zip, pptm, pptm, dotx, docx, flvv, vmdk, xltx, jpeg, sldx, java, ppsm, ms11, java, sldx, qcow, ppsx, m2ts, docb, aiff, potm, indd, pptm, xltm, xltm, xlam, xlsm, sldm, dotm, ppsx, vmxf, ppam, vmsd, potm, vmdk, flac, vhdx, docm, vbox, xlsb, s3db, safe, pptx, aspx, kpdx, xlsx, kdbx, ppsm, grey, mpeg, gray, djvu, djvu, tiff, ddrw, lay6, ddoc, sldm, craw, ppsm, cdrw, ppam, cdr6, potx, cdr5, pptx, cdr4, xltx, cdr3, xlsx, bank, xlsb, back, dotx, agdl, docx:wallet:dat, stc, wab, hwp, raw, max, wmv, CSV, 008, y, XLS, n64, ott, apk, p12, pas, sxc, std, st6, pdf, say, mkv, qbb, sav, pfx, tgz, pat, jar, oil, frm, key, pst, nsg, wb2, nsd, pst, iif, jpg, fff, mid, dtd, avi, dcr, mp3, dac, iwi, cr2, PAQ, cdx, svg, bkp, NEF, act, dch, xlt, mdf, xlm, sql, wps, 004, svg, sxm, r3d, sti, pcd, slk, max, rtf, fxg, ppt, eps, oab, drw, doc, db3, m4u, cpi, flv, cdr, mp4, aac, vob, wmv, swf, wav, vmx, thm, ltx, srt, bsa, sav, aes, psd, bak, odt, zip, mpg, png, mp3, jpg, mlb, cmd, mdf, brd, m3u, vbs, ldf, php, key, MYI, flv, dbf, dxf, 010, dds, 006, css, 002, cer, lay, avi, odg, asp, pot, aoi, otp, 3g2, wks, 1cd, xlc, xlt, xml, ots, yuv, DOT, xis, xml, x3f, RTF, x11, stw, wpd, DOC, wb2, crt, tex, stc, sxm, st4, sxi, qbm, sxg, ptx, sxd, pef, stx, pas, stw, odp, sti, nsh, std, nsf, st8, mos, st5, fpx, srw, fdb, srf, ddd, sr2, dbf, sdf, crt, sda, cgm, sd0, cdf, rwz, adp, rwl, xlw, rdb, xlr, raw, xla, rat, tga, raf, rw2, qby, pct, qbx, mdb, qbw, m4v, qbr, fla, qba, dxb, pot, dot, plc, cpp, pem, cls, pdd, arw, p7c, 3dm, p7b, wma, p12, vob, ott, swf, ots, sql, otp, pwm, oth, php, mp4, odm, mov, , 2, bak, nrw, asx, nop, asf, nk2, 3gp, nef, 3ds, ndd, zip, myd, xls, mrw, txt, mny, rar, mmw, prf, mfw, pps, mef, ods, mdc, msg, lua, jnt, kdc, dbx, kc2, m4a, jpe, m3u, iiq, wma, ibz, 3g2, ibd, 3gp, hbk, mov, gry, asf, fhd, mpg, ffd, fla, exf, wav, erf, vdi, eml, upk, dxg, re4, drf, lbf, dng, das, dgc, bik, des, gpg, der, ARC, dcs, tbk, dc2, tar, csl, rar, csh, djv, crw, bmp, cib, gif, ce2, cgm, ce1, tif, bpw, psd, bik, bat, bgt, asp, bdb, sch, bay, dip, awg, asm, cpp, apj, ldf, ait, ibd, ads, MYD, adb, odb, acr, mdb, ach, 011, ab4, 009, 3pr, 3fr, vmx, vhd, vdi, asc, stm, mml, st7, otg, rvt, uop, qed, sxd, png, pps, pif, sxi, pdb, odp, pab, 123, ost, wk1, ogg, xlw, ndf, xlm, mkv, dif, m4p, sxc, log, ods, hpp, 602, hdd, 3dm, gif, 3ds, edb, txt, dit, uot, dat, pdf, cmt, PPT, bmp, sxw, bin, pem, wad, csr, tlg, sxw, py, rb, fh, gz, nd, js, al, db, ps

例えば:

Acronis

ハードコードされたRSA-2048のパブ リックキーをインポートします。

Acronis

ここで: 1バイト:BLOBタイプ= PUBLICKEYBLOB(0x06) 2バイト:バージョン= CUR_BLOB_VERSION(0x02) 5-8バイト:アルゴリズムID = CALG_RSA_KEYX(0x0000A400) 9-20バイト:RSAPUBKEY {magic = 'RSA1'、キー長= 2048ビット、公開指数= 65537} 21-276バイト:キーデータ256バイト Lockyは元のファイル名を "<ID> .asasin"に変更します。 次に、ファイルからデータを読み取ります。

Acronis

埋め込みAESアルゴリズムを使用して128ビットのキーでファイルのコンテンツを暗号化します。

Acronis

暗号化されたファイルのデータを元の名前を変更したファイルに書き込みます。

Acronis

836バイトのブロック(フッター)に暗号化 されたファイルの名前とAES-128キーを追加します。

Acronis

したがって、ファイル全体の暗号化プロセスは次のようになります。

Acronis

暗号化されたファイルの内容は次のようになります。

Acronis

フッター(836バイト)は、4バイトの Locky lebel= "8956FE93h"で始まります。

Acronis

被害者のID = "JP70W9NS0DW7HAHG"となります。256バイトはMS CryptoAPIの助けを借りて行われたRSA-2048マスターパブリックキーで暗号化されたファイルのキーと同じになります:

Acronis

Acronis

フッターの残りの560バイトには、先頭に別のLocky lebel= "0D41BA12Ah"が含まれています。

Acronis

そのファイルのデータの暗号化に使用されているのと同じ組み込みAES暗号アルゴリズムで暗号化されたファイル名である。これは、アンチウィルスの動作ブロッカーをバイパスするために行われます。 暗号化の後、暗号化されたファイルには次のデータブロックが含まれます。

バイト単位のサイズ
データ
128ビット鍵のAES暗号アルゴリズムを使用して暗号化されたファイルコンテンツ
4
ロック・ラベル1 = "8956FE93h"
16
被害者のID
256
RSA-2048マスター公開鍵で暗号化された128ビットのファイルのキー
560
Locky lebel2 = "0D41BA12Ah"とファイル名を含む暗号化データ

暗号解読サービス cryptolockerは、壁紙として設定された画像と、解読指示を持つhtmlページを作成し、ユーザーに表示します。 "HKCU \ Control Panel \ Desktop \" "Wallpaper" = "%USER%\ Desktop \ asasin.bmp"

Acronis

Acronis

Acronis

暗号解読サービス は、Torネットワークにあります。

Acronis

このバージョンでは、C&Cとの通信は利用できません。 Acronis Active Protectionはこの脅威を停止させます Acronis True Image 2018をテストしたところ、予想通り、新種のLockyランサムウェアを検出してブロックしました。ユーザーファイルの暗号化が容易かつ確実に保護されていることを示します。

Acronis

Acronisデータ保護ソリューションには、ランサムウェア(Acronis Active Protection)に対するアクティブな保護機能が組み込まれています。個人向けバックアップソフトAcronis True Image 2018、 法人向けAcronis Backup 12.5、サービスプロバイダー様向け Acronis Backup Cloudをご利用の場合は、Acronis Active Protectionが有効になっていることを必ず確認してください。ランサムウェアの脅威を検出し、攻撃をブロックし、影響を受けるデータを復元します。

アクロニスについて

アクロニスは2003年にシンガポールで設立されたスイス企業です。アクロニスは、世界15か所のオフィスと50カ国以上で拠点を擁しており、Acronis Cyber Protectソリューションは150カ国に26言語で提供され、2万社を超えるサービスプロバイダーで利用されており75万社を超える企業を保護しています。

アクロニスのその他の情報