今度はPetya / GoldenEye

 2017.06.28  株式会社テリロジー 技術統括部

こんにちは、セキュリティチームの石田&山内(やまうち)です。

WannaCry騒動が収束しないうちに、またランサムウェア騒動が起きてますね。

まだ一般的な名称が確定してませんが、とりあえず当ブログはBitdefenderさんの「GoldenEye」という名称で記載します。

どのようなランサムウェア?

ベースになっている「Petya」はファイルではなくディスクを丸ごと暗号化するタイプのランサムウェアの亜種で、昨年から観測されています。

「GoldenEye」はWannaCryと同様に「MS17-010」を悪用して感染が拡大する様です。

サンドボックスに放り込んでみた

詳細は解析中ですが、とりあえず入手したサンプルをサンドボックスに放り込んで挙動を見てみました。

GoldenEye 
今度はPetya / GoldenEye

うーん、「Petya」みたいにMBR書き換えを観測できませんが、ディスク情報読み込んだり、暗号化API叩いたり、再起動したりと怪しい。

Petya
今度はPetya / GoldenEye 01

一方「Petya」はMBRを書き換えていることが解ります。

対策

感染拡大の手法自体WannaCryと同様みたいなので、パッチの適用とFWやIPSで外部からのSMBをブロックするのが一番確実です。

当社も使っていますが、モバイルPC+USBドングルでインターネット接続する場合は必ずパーソナルFWやホストISPを使いましょう。

  

検体情報

  • GoldenEye

  MD5 : 71b6a493388e7d0b40c83ce903bc6b04
  SHA1 :  34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

  • Petya

  MD5 : af2379cc4d607a45ac44d62135fb7015
  SHA1 : 39b6d40906c7f7f080e6befa93324dddadcbd9fa

さすがに、サンドボックスだけでは再起動後の挙動までは解らないので今日はココまで

もう少し解析してから、改めて続きを書こうかと思います。

それにしても、このランサムウェアはPCが2台無いと身代金が払えないですね。。。

それでは


RECENT POST「技術コラム」の最新記事


技術コラム

OCVS・Horizon構築してみた③

技術コラム

OCVS・Horizon構築してみた②

技術コラム

OCVS・Horizon構築してみた①

技術コラム

【第2弾】 Sumo Logic 可視化サービス Terilogy Blend for Cato Networksリリース

今度はPetya / GoldenEye