Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Locky パート2: 季節が変わるように Locky も変わる

季節が変わる時期です。北半球は秋に、南半球は春になります。それは Locky も同じです。最新の投稿で述べたように、スパムキャンペーンは、暗号化されたファイル拡張子名として 「.lukitus」を使用した Locky ランサムウェアをダウンロードしていました。Necurs ボットネット が、今度は別のファイル拡張子名で Locky を再びばら撒きながら戻ってきました。

私たちのスパム研究データベースは、2017 年 9 月 19 日に Necurs ボットネットから送られた 電子メールのスパイクを示しています。

Chart1

下の表は、Necurs のスパムが発信されている上位 10 カ国を示しています。これらの数字は、 マシンが Necurs に侵害されたことを示しています。

Table1

電子メールメッセージのサンプルを以下に示します。これらは 2 つの異なる件名を持っていま す。

Sampleemail

これらのメッセージには、.vbs ファイルを含む.7zip 添付ファイルが付属しています。

Attachments

vbs コードを詳しく調べると、.vbs ファイルが実行されるとアクセスされる URL を見つけること ができます。次の図は、URL のコードスニペットを示しています

Code

これらの URL にアクセスすると、Locky ランサムウェアの実行可能ファイルをダウンロードでき ます。

  • www[.]elitecommunications.co[.]uk/87thiuh3gfDGS?
  • miliaraic[.]ru/p66/87thiuh3gfDGS
  • troyriser[.]com/87thiuh3gfDGS?
  • dmlex[.]adlino[.]be/DKndhFG72?
  • targeter[.]su/p66/DKndhFG72
  • cornyproposal[.]com/DKndhFG72?

以下は、URL リクエストとレスポンスそれぞれの画像です。

87

Dk

ダウンロードされた実行可能ファイル(メタデータ):

MD5: cd2e485d86bd2598a8728f81a54ba774
SHA1: 9ec96c64691d1c7988cba48d5c140d4c2f2db8f8
SIZE: 649,216 bytes

MD5: bab1c043a2fba947f682b6a012a9f362
SHA1: 4709c02b59f0b20c45e798e62a00b3914f738403
SIZE: 660,480

.vbs スクリプトが実行可能ファイルのダウンロードを完了すると、自動的にランサムウェアが実 行され、期待どおりにファイルが暗号化されます。ファイルの拡張子が「.ykcol」に変更されてい ることに注意してください。これは、Locky を逆さまに綴ったものです:

Folders

この亜種が暗号化するファイル拡張子のリスト:

Exts

Locky ランサムノート(身代金要求メモ)には様々な形式があります:

画像ファイル(ykcol.bmp):
Yckol

HTML ファイル(ykcol.htm)Ykcol

壁紙を身代金要求メモに変更するレジストリを追加しました。Registry

最後に、下の画像は Locky 復号化サイトを示しています。犠牲者は、TOR ブラウザを使用し て身代金メモに記載されている URL にアクセスする必要があります。Lockypaypage

0.25 BTC または USD 1000 を求めています


侵害証跡(IoCs)

VBS のダウンローダ ::

  • f8d91dde125cb5b1b4c336d1d5a7d9e1b444637f
  • e4976b8e04cf93450286b91eebd6eecb79361c76

Locky ランサムウェア ::

  • 9ec96c64691d1c7988cba48d5c140d4c2f2db8f8
  • 4709c02b59f0b20c45e798e62a00b3914f738403