AhnLab ASEC 分析チームはエントリーシートに偽装した Makop ランサムウェアの拡散について共有したが、今週、このランサムウェアが著作権侵害に関する内容で拡散していることを確認した。従来とは異なり、.zip 拡張子ではなく .dat 拡張子で圧縮ファイルが添付されている。メールの添付ファイルのチェックを回避するために、メールを送信した日付をパスワードに使用している。
添付ファイルの内部には ALZip で圧縮されたファイルが存在し、以下のように計3つのファイルが存在する。
これらのファイルのうち、이미지 원본.jpg(翻訳:画像原本.jpg)ファイルは正常な実行ファイルであり、残りの2つの実行ファイルは同じファイルで、ランサムウェアのマルウェアである。当該ファイルは、CCleaner Installer であるかのように偽装している。
ランサムウェアのファイルを実行すると、以下のコマンドを使用してボリュームシャドウコピーを削除したあと、暗号化を実行する。
| vssadmin delete shadows /all /quiet wbadmin delete catalog -quiet wmic shadowcopy delete |
また、実行中のドキュメントファイル等を暗号化するために、実行中のプロセスのうち以下の名前を持つプロセスを強制終了させる。
| msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsrvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe |
暗号化除外フォルダーおよびファイルと、除外拡張子名は以下の通りである。従来のランサムウェアから、usagoo、pecunia という拡張子が追加された。
| boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini |
| Makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc, KJHslgjkjdfg, origami, tomas, RAGA, zbw, fireee, XXX, element, HELP, zes, lockbit, captcha, gunga, fair, SOS, Boss, moloch, vassago, usagoo, pecunia, exe, dll |
暗号化されたファイルは.[ランダムな8文字].[pecunia0318@airmail.cc].pecunia という拡張子が追加され、暗号化が実行されたフォルダーに readme-warning.txt というファイル名のランサムノートが作成される。
このランサムウェアは以前から頻繁にエントリーシートや著作権侵害に関する内容に偽装して出回っているため、ユーザーは特に注意が必要である。また、不明なユーザーから受信したメールの添付ファイルは閲覧しないようにしなければならない。
現在 V3 では、このマルウェアを次のような検知名で診断している。
[ファイル検知]
Ransomware/Win.MakopRansom.C4439397
[ビヘイビア検知]
Malware/MDP.Behavior.M3635
[IOC 情報]
237d76f961f8f550c4c4bbfab30153a6
Categories: マルウェアの情報