履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中

ASEC 分析チームは最近、履歴書や著作権に関する内容を騙るメールによってランサムウェアが配布されていることを確認した。このような内容の不正なメールは、過去から絶えず拡散され続けている。従来の Makop ランサムウェアを配布していたのとは異なり、最近では LockBit ランサムウェアを配布している。

• 著作権侵害に関する内容で拡散している Makop ランサムウェア
• 履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中

配布が確認されたメールにはパスワードが設定された圧縮ファイルが添付されている。

[図1]に添付された圧縮ファイルの内部には以下のように「저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.jpg」(翻訳：著作権法に関連して違反している事項を整理してお送りします.jpg)ファイルと「이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe」(翻訳：画像原本(こちらで制作した画像)と使用している画像を整理した内容.exe)ファイルが存在する。

解凍すると「이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe」ファイルの場合、Word ドキュメントに見せかけるため、ファイルのアイコンが Word イメージに設定されている。jpg ファイルのほうは正常な実行ファイルの拡張子を .jpg に変更したものであり、このファイルをクリックしても正常には実行されない。

ユーザーが Lockbit ランサムウェアである「이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe」ファイルを実行すると、ユーザーのファイルが暗号化される。このファイルは、従来と同じ NSIS (Nullsoft Scriptable Install System)形式であり、ファイル属性は以下の通りである。

このランサムウェアは、実行すると復旧を不可能にするために以下のコマンドを実行してボリュームシャドウコピーを削除する。また、レジストリに Run キーを登録して持続的にランサムウェアが実行されるようにする。

• vssadmin delete shadows /all /quiet
• wmic shadowcopy delete
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit /set {default} recoveryenabled no

その後、実行中のドキュメントファイル等を暗号化して、解析を回避するために多数のサービスとプロセスを終了する。

特定のサービスおよびプロセスを終了させると暗号化が実行され、ドライブタイプが DRIVE_REMOVABLE、DRIVE_FIXED、DRIVE_RAMDISK である場合に暗号化が行われる。暗号化除外フォルダー/ファイル名および拡張子は以下の通りである。

暗号化されたファイルは .lockbit の拡張子と特定のアイコンを持っており、 Restore-My-Files.txt というファイル名のランサムノートが生成される。

このように、履歴書と著作権に関する内容に偽装したランサムウェアの配布は過去から継続的に行われ続けている。また、このタイプのマルウェアを配布する目的の電子メールには実際の作家の名前が含まれており、ユーザーが不正なメールであることを認知できずに添付ファイルを開いてしまうおそれがあるため、ユーザーは特に注意が必要である。

[ファイル検知]

• Ransomware/Win.MAKOP.C4971574
• Suspicious/Win.MalPe.X2132

[ビヘイビア検知]

• Ransom/MDP.Decoy.M1171

[IOC 情報]

• 3ffea798602155f8394e5fb3c7f4a495 (eml)
• 4b77923447b9a1867080e3abe857e5bd (exe)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。