著作権侵害に関する内容で拡散している Makop ランサムウェア

AhnLab ASEC 分析チームはエントリーシートに偽装した Makop ランサムウェアの拡散について共有したが、今週、このランサムウェアが著作権侵害に関する内容で拡散していることを確認した。従来とは異なり、.zip 拡張子ではなく .dat 拡張子で圧縮ファイルが添付されている。メールの添付ファイルのチェックを回避するために、メールを送信した日付をパスワードに使用している。

添付ファイルの内部には ALZip で圧縮されたファイルが存在し、以下のように計3つのファイルが存在する。

[図1] 添付ファイルの中身

これらのファイルのうち、이미지 원본.jpg(翻訳:画像原本.jpg)ファイルは正常な実行ファイルであり、残りの2つの実行ファイルは同じファイルで、ランサムウェアのマルウェアである。当該ファイルは、CCleaner Installer であるかのように偽装している。

[図2] ファイルのプロパティ

ランサムウェアのファイルを実行すると、以下のコマンドを使用してボリュームシャドウコピーを削除したあと、暗号化を実行する。

vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wmic shadowcopy delete
実行コマンド

また、実行中のドキュメントファイル等を暗号化するために、実行中のプロセスのうち以下の名前を持つプロセスを強制終了させる。

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsrvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe
強制終了プロセスのリスト

暗号化除外フォルダーおよびファイルと、除外拡張子名は以下の通りである。従来のランサムウェアから、usagoo、pecunia という拡張子が追加された。

boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini
暗号化除外ファイル
Makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc, KJHslgjkjdfg, origami, tomas, RAGA, zbw, fireee, XXX, element, HELP, zes, lockbit, captcha, gunga, fair, SOS, Boss, moloch, vassago, usagoo, pecunia, exe, dll
暗号化除外拡張子

暗号化されたファイルは.[ランダムな8文字].[pecunia0318@airmail.cc].pecunia という拡張子が追加され、暗号化が実行されたフォルダーに readme-warning.txt というファイル名のランサムノートが作成される。

[図3] 暗号化されたファイル
[図4] ランサムノート

このランサムウェアは以前から頻繁にエントリーシートや著作権侵害に関する内容に偽装して出回っているため、ユーザーは特に注意が必要である。また、不明なユーザーから受信したメールの添付ファイルは閲覧しないようにしなければならない。

現在 V3 では、このマルウェアを次のような検知名で診断している。

[ファイル検知]
Ransomware/Win.MakopRansom.C4439397

[ビヘイビア検知]
Malware/MDP.Behavior.M3635

[IOC 情報]
237d76f961f8f550c4c4bbfab30153a6

Categories: マルウェアの情報

Tagged as: ,