季節が変わる時期です。北半球は秋に、南半球は春になります。それは Locky も同じです。最新の投稿で述べたように、スパムキャンペーンは、暗号化されたファイル拡張子名として 「.lukitus」を使用した Locky ランサムウェアをダウンロードしていました。Necurs ボットネット が、今度は別のファイル拡張子名で Locky を再びばら撒きながら戻ってきました。
私たちのスパム研究データベースは、2017 年 9 月 19 日に Necurs ボットネットから送られた 電子メールのスパイクを示しています。
下の表は、Necurs のスパムが発信されている上位 10 カ国を示しています。これらの数字は、 マシンが Necurs に侵害されたことを示しています。
電子メールメッセージのサンプルを以下に示します。これらは 2 つの異なる件名を持っていま す。
これらのメッセージには、.vbs ファイルを含む.7zip 添付ファイルが付属しています。
vbs コードを詳しく調べると、.vbs ファイルが実行されるとアクセスされる URL を見つけること ができます。次の図は、URL のコードスニペットを示しています
これらの URL にアクセスすると、Locky ランサムウェアの実行可能ファイルをダウンロードでき ます。
- www[.]elitecommunications.co[.]uk/87thiuh3gfDGS?
- miliaraic[.]ru/p66/87thiuh3gfDGS
- troyriser[.]com/87thiuh3gfDGS?
- dmlex[.]adlino[.]be/DKndhFG72?
- targeter[.]su/p66/DKndhFG72
- cornyproposal[.]com/DKndhFG72?
以下は、URL リクエストとレスポンスそれぞれの画像です。
ダウンロードされた実行可能ファイル(メタデータ):
MD5: cd2e485d86bd2598a8728f81a54ba774
SHA1: 9ec96c64691d1c7988cba48d5c140d4c2f2db8f8
SIZE: 649,216 bytes
MD5: bab1c043a2fba947f682b6a012a9f362
SHA1: 4709c02b59f0b20c45e798e62a00b3914f738403
SIZE: 660,480
.vbs スクリプトが実行可能ファイルのダウンロードを完了すると、自動的にランサムウェアが実 行され、期待どおりにファイルが暗号化されます。ファイルの拡張子が「.ykcol」に変更されてい ることに注意してください。これは、Locky を逆さまに綴ったものです:
この亜種が暗号化するファイル拡張子のリスト:
Locky ランサムノート(身代金要求メモ)には様々な形式があります:
画像ファイル(ykcol.bmp):
HTML ファイル(ykcol.htm)
壁紙を身代金要求メモに変更するレジストリを追加しました。
最後に、下の画像は Locky 復号化サイトを示しています。犠牲者は、TOR ブラウザを使用し て身代金メモに記載されている URL にアクセスする必要があります。
0.25 BTC または USD 1000 を求めています
侵害証跡(IoCs)
VBS のダウンローダ ::
- f8d91dde125cb5b1b4c336d1d5a7d9e1b444637f
- e4976b8e04cf93450286b91eebd6eecb79361c76
Locky ランサムウェア ::
- 9ec96c64691d1c7988cba48d5c140d4c2f2db8f8
- 4709c02b59f0b20c45e798e62a00b3914f738403