こんにちは、セキュリティチームの石田&山内(やまのうち)です。
WannaCry騒動が収束しないうちに、またランサムウェア騒動が起きてますね。
まだ一般的な名称が確定してませんが、とりあえず当ブログはBitdefenderさんの「GoldenEye」という名称で記載します。
どのようなランサムウェア?
ベースになっている「Petya」はファイルではなくディスクを丸ごと暗号化するタイプのランサムウェアの亜種で、昨年から観測されています。
「GoldenEye」はWannaCryと同様に「MS17-010」を悪用して感染が拡大する様です。
サンドボックスに放り込んでみた
詳細は解析中ですが、とりあえず入手したサンプルをサンドボックスに放り込んで挙動を見てみました。
GoldenEye
うーん、「Petya」みたいにMBR書き換えを観測できませんが、ディスク情報読み込んだり、暗号化API叩いたり、再起動したりと怪しい。
Petya
一方「Petya」はMBRを書き換えていることが解ります。
対策
感染拡大の手法自体はWannaCryと同様みたいなので、パッチの適用とFWやIPSで外部からのSMBをブロックするのが一番確実です。
当社も使っていますが、モバイルPC+USBドングルでインターネット接続する場合は必ずパーソナルFWやホストISPを使いましょう。
検体情報
- GoldenEye
MD5 : 71b6a493388e7d0b40c83ce903bc6b04
SHA1 : 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
- Petya
MD5 : af2379cc4d607a45ac44d62135fb7015
SHA1 : 39b6d40906c7f7f080e6befa93324dddadcbd9fa
さすがに、サンドボックスだけでは再起動後の挙動までは解らないので今日はココまで
もう少し解析してから、改めて続きを書こうかと思います。
それにしても、このランサムウェアはPCが2台無いと身代金が払えないですね。。。
それでは
