数日前、Panda SecurityのPandaLabsウイルス対策ラボが新しいランサムウェアのサンプルを発見しました。 これは、 CryptoBitの新しいサンプルで、いくつかのユニークな機能を備えています。
他のよく知られた暗号化の例と比較すると、 CryptoBitはユニークなインスタンスであると言えます。 多くの理由で他の暗号化装置とは異なりますが、主な機能の1つは、被害者に通知するポップアップメッセージです。 ファイルを保存します。 この記事では、その他の追加機能を示します。
分析サンプル
このレポートは、次のサンプルの分析に基づいています。
a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c(sha256)
このサンプルは、別の種類のマルウェアを偽装するトロイの木馬である「パッカー」のおかげで保護されています。 「アンパック」した後、最後のコンパイルの日付(2016年4月5日12:20:55 PM)に加えて、 文字列変数が完全に存在しないことに気付くことができます。CryptoBitの作者が何らかの方法でコード分析を複雑にしたかった証拠です。
配布
Panda Securityの「Collective Intelligence Systems」が提供するデータを分析することにより、さまざまなWebブラウザーに影響を与える「エクスプロイトキット」を使用する際にCryptoBitを配布する方法を決定できます。
振る舞い
サンプルの動作を分析した後、CryptoBitの主な動作をより正確に決定できました。
CryptoBitが最初に行うことは、構成されたキーボード言語を確認することです。 キーボードが特定の言語コード(0x1a7、0x419-ロシア語または0x43f-カザフ語)のいずれかを使用するように構成されている場合、プログラムはファイルの暗号化を終了しません。
キーボード言語がブラックリストに載っていないことを確認した後、CryptoBitはすべてのローカルドライブ、ネットワークフォルダー、リムーバブルデバイス(USB)を調べ、攻撃された拡張機能を含むファイルを検索します。 目的は何ですか? 後で回復を要求するために、ファイルのコンテンツ全体を暗号化します。
特に、CryptoBitは次の拡張機能に関心があります。
ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofxxdb pdf docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt tdb dbb accb
ファイルの暗号化プロセスが開始されると、ユーザーは次のようなウィンドウを自分のコンピューターで見ることができます。
この投稿では、この新しいタイプの暗号化装置を分類するために使用できるいくつかのポイントを確認します。
「58903347」として表示されるID
分析されたサンプルのこの値は常に同じです。 この暗号化を同じマシンで再度実行するか、他のデバイスで実行するかは問題ではありません。 これは、特定のユーザー(またはコンピューター)ではなく、暗号化装置のIDに関連付けられていることを示しています。
支払わなければならないビットコインの数
一般的に、必要なビットコインの数は固定されています。 この特定のケースでは、著者(または複数の著者)が毎日増加する身代金を要求していることがわかります。
連絡方法
ユーザーは、特定のリンクを介してアクセス可能なWebサーバーを介してハッカーに連絡することはできず、「現時点では」「特別なこと」をユーザーに要求しません。
ユーザーに電子メール(torrenttracker@india.comなど)で連絡するように依頼します。 ユーザーが応答を受信しない場合、「GitHub」でダウンロードできる「Bitmessage」というアプリケーションを使用してハッカーに連絡できます。
さらに、このメッセージだけではユーザーに自分のファイルが暗号化されていると納得させられない場合、ユーザーは現在解読できないファイルの1つでフォルダーを開くたびに、このフォルダーにさらに2つの特別に作成されたファイルも表示されますファイル:
OKSOWATHAPPENDTOYOURFILES.TXT
このファイルを見ると、ファイルが暗号化された後にユーザーに表示される同じメッセージ(この場合はテキスト形式)を見つけることができます。
sekretzbel0ngt0us.KEY
この2番目のファイルには、長さが1024の16進数シーケンスがあります。これは、デコード後、512バイト(または4096ビット)のバイナリシーケンスに対応します。
以下に、「sekretzbel0ngt0us.KEY」というファイルの意味を示します。ここでは、暗号化が他のファイルの暗号化に使用されました。
ユーザーに表示されるもう1つのCryptoBitアクションは、次の種類のHTTP要求です。
videodrome69.net/knock.php?id=58903347
注:要求されたスクリプト「knock.php」は存在しません
ファイル暗号化
ファイルを暗号化して他のファイルを暗号化する場合、CryptoBitが起動するたびに、AESアルゴリズム(32バイトまたは256ビット長のランダムキー)が実行され、この情報が判明するまでファイルを解読することは事実上不可能になります。
身代金を支払った後にファイルを復号化できるこのキーを失わないために、この暗号化の作成者はRSAアルゴリズムを使用して、生成されたAESキーを暗号化された形式で保存します。
選択した公開キーの長さは4096ビットであり、分析対象のサンプル内で「ハードコード化」されていることがわかりました。
RSAを使用してAESキーを暗号化すると、「sekretzbel0ngt0us.KEY」というファイルに保存され、対応するRSA「プライベートキー」(理論的には暗号の作成者のみ)が存在する場合にのみ理解されます。
このセクションでは、RSAアルゴリズムを使用してファイルを暗号化する組み込みライブラリへのアクセスがないという特定の機能に注目しました。 CryptoBitは、静的にコンパイルされた一連の手順を使用します。この手順を使用すると、「大きな数」で作業でき、RSA暗号化アルゴリズムを再生できます。
結論
ご覧のとおり、このランサムウェアは時代遅れではありません。 毎日、私たちはまだ驚きをもたらす新しいパターンを発見しています。 この特定のケースでは、「深刻な暗号化」(AES + RSA)の使用に驚くことはありませんが、これは頻繁に観察されますが、この脅威の野心性に注意を喚起し、その優れた開発と興味深いアイデアを高く評価しました。
元の記事: CryptoBitに注意してください。最新の脅威が検出されました