JavaScriptを使用すると、ランサムウェアはクロスプラットフォームになり、Microsoft Windows、Linux、Apple OS Xの両方で使用できます。Ransom32の主要な機能は、サイバー犯罪者向けのランサムウェア配布モデルです。 これはソフトウェアとしてのソフトウェア(SaaS)モデルであり、マルウェアの管理コントロールパネルにアクセスして生成するには、ビットコインウォレットのアドレスを指定するだけです。
図 Ransom32ランサムウェアコントロールパネル。 オペレーター(所有者)の電子ウォレットのアドレス、感染したコンピューターの統計、ユーザーから既に受け取った資金の量、および悪意のあるプログラムの設定が表示されていることがわかります。 (Emsisoftデータ)。
「client.scrのダウンロード」ボタンをクリックすると、オペレーター用にコントロールパネルで指定されたパラメーターを持つマルウェアファイルを含むアーカイブが生成されます。 このアーカイブのサイズはかなり大きく、22MB以上です。 サイズは、他の悪意のあるプログラムのファイルに一般的に使用されるサイズよりも明らかに大きく、原則として1MBを超えません。
図 自己解凍型SFXアーカイブ内のランサムウェアファイル。
悪意のあるプログラムはWinRARスクリプト言語を使用して、アーカイブの内容を一時的なユーザーファイルのあるディレクトリに自動的に解凍し、chrome.exeファイルが実行のために起動されます。 アーカイブからのファイルの目的は次のとおりです。
- 「Chrome」にはGPLライセンス契約のコピーが含まれています。
- 「Chrome.exe」はNW.jsアプリケーションであり、悪意のあるコードとその正常な動作に必要なフレームワークが含まれています。
- 「Ffmpegsumo.dll」、「nw.pak」、「icudtl.dat」、および「locales」には、NW.js環境が機能するために必要なデータが含まれています。
- 「Rundll32.exe」は、 Torクライアントファイルの名前が変更されたコピーです。
- 「S.exe」はOptimum Xショートカットツールファイルの名前を変更したコピーで、デスクトップおよびスタートメニューのショートカットを作成および管理するために使用されます。
- 「G」はマルウェア設定ファイルであり、そのデータはコントロールパネルで指定されています。
- 「Msgbox.vbs」は、カスタマイズ可能なポップアップテキストを表示する小さなスクリプトです。
- 「U.vbs」は、指定されたディレクトリ内のすべてのファイルのリストを取得して削除する小さなスクリプトです。
図 JSON形式のマルウェア構成ファイル。
ファイルNW.jsは、Windows、Linux、OS X用のJavaScriptアプリケーションを開発できる特別な環境です。この環境は、一般的なNode.jsおよびChromiumプラットフォームに基づいています。 開発者はこれを使用して、これらのプラットフォームのいずれかのアプリケーションにスクリプトを統合できます。 このようにして、攻撃者はランサムウェアをLinuxおよびOS Xプラットフォームに簡単に適合させることができます。
システムでランサムウェアファイルを実行した後、上記のすべてのファイルを一時ファイルのあるディレクトリに自身から抽出します。 次に、彼は%AppData%\ Chrome Browserディレクトリに自分自身をコピーします。 s.exeファイルは、ユーザーの自動実行ディレクトリに「ChromeService」という名前のショートカットを作成するために使用されます。 次に、悪意のあるプログラムはTorクライアントファイルを起動して、ポート85でC&Cサーバーとの接続を確立します。 サーバーに接続した後、ランサムウェアは身代金要求メッセージをユーザーに表示します。
図 引き換えメッセージ。
その後、Ransom32は次の拡張子のファイル暗号化手順を開始します。
* .jpg、* .jpeg、* .raw、* .tif、* .gif、* .png、* .bmp、* .3dm、* .max、* .accdb、* .db、* .dbf、*。 mdb、* .pdb、* .sql、*。* sav *、*。* spv *、*。* grle *、*。* mlx *、*。* sv5 *、*。* game *、*。*スロット*、* .dwg、* .dxf、* .c、* .cpp、* .cs、* .h、* .php、* .asp、* .rb、* .java、* .jar、* .class、 * .aaf、* .aep、* .aepx、* .plb、* .prel、* .prproj、* .aet、* .ppj、* .psd、* .indd、* .indl、* .indt、* indb、* .inx、* .idml、* .pmd、* .xqx、* .xqx、* .ai、* .eps、* .ps、* .svg、* .swf、* .fla、* .as3、 * .as、* .txt、* .doc、* .dot、* .docx、* .docm、* .dotx、* .dotm、* .docb、* .rtf、* .wpd、* .wps、*。 msg、* .pdf、* .xls、* .xlt、* .xlm、* .xlsx、* .xlsm、* .xltx、* .xltm、* .xlsb、* .xla、* .xlam、* .xll、 * .xlw、* .ppt、* .pot、* .pps、* .pptx、* .pptm、* .potx、* .potm、* .ppam、* .ppsx、* .ppsm、* .sldx、*。 sldm、* .wav、* .mp3、* .aif、* .iff、* .m3u、* .m4u、* .mid、* .mpa、* .wma、* .ra、* .avi、* .mov * .mp4、* .3gp、* .mpeg、* .3g2、* .asf、* .asx、* .flv、* .mpg、* .wmv、* .vob、* .m3u8、* .csv、*。 efx、* .sdf、* .vcf、* .xml、* .ses、* .dat
同時に、Ransom32は、名前に次の行を含むディレクトリ内のファイルを暗号化しようとしません。
- :\ windows \
- :\ winnt \
- programdata \
- ブート\
- 一時\
- tmp \
- $ recycle.bin \
ファイルの暗号化は、対称CESアルゴリズムとブロックCTRモードの 128ビットキーを使用して実行されます 。 ファイルごとに新しい暗号化キーが生成されます。 キーは、RSAアルゴリズムと最初の接続時に管理サーバーからダウンロードされる公開キーを使用して暗号化されます。
図 マルウェアとC&Cサーバーの間のネットワーク相互作用の断片。後者は、ウォレットアドレスビットコイン(紫)の送信に応答して、後者がRSA公開キー(キーの長さが黄色でマークされ、キーが緑)を送信します。
公開キーで暗号化されたAESキーは、暗号化されたファイルのデータとともに保存されます。 また、悪意のあるプログラムは、攻撃者が実際にファイルを解読できることを示すために、被害者に単一のファイルを解読することを提供します。 この場合、悪意のあるプログラムは指定されたファイルの暗号化されたAESキーを管理サーバーに送信し、キーの復号化されたバージョンを受信します。
この種のマルウェアからデータを保護するには、オペレーティングシステムを定期的に更新し、データをタイムリーにバックアップし、ウイルス対策ソフトウェアを使用することをお勧めします。