情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
引用元:http://blog.emsisoft.com/2017/07/12/nemucodaes-ransomware-removal-decrypt/
平成27年頃より活動している、JavaScriptとPHPを悪用するランサムウェア「Nemucod」の亜種、「NemucodAES」の拡散が最近確認されているとのことで、その暗号化手法をセキュリティソフトウェアを提供するEMSISOFTが平成29年7月12日、Webサイトにて公表しました。
スパムメールに添付されたZIPファイルを開封することで当該ランサムウェアへ感染し、メール自体にはソーシャルエンジニアリングが用いられ、受信者にとって不正なメールであるかの区別が難しいとされます。
NemucodAESには、従来のNemucodの暗号化アルゴリズム、及び、ランサムノートに変更が加えられているとのことです。
引用元:http://blog.emsisoft.com/2017/07/12/nemucodaes-ransomware-removal-decrypt/
一度感染すると、ランサムウェアの機能をダウンロードし、トロイの木馬「Kovter」を%TEMP%フォルダへ保存、そして双方を実行します。
NemucodAESの機能はPHPスクリプトとPHP解析ツールによって構成されており、この解析ツールは使用可能なドライブ文字の整列を開始し、暗号化を行います。
従来のNemucodとの暗号化における違いは、使用されるアルゴリズムがRC4からECBモードのAES-128とRSA方式を融合させたものへと変更された点が挙げられ、さらに、ファイル暗号化において拡張子が変更されることはなく、標的となったユーザのコンピュータが感染していることに気づきにくいとのことです。
当該ランサムウェアは、標的ファイル内の最初の2KBのみをランダムに、生成された128ビットのファイルの鍵を用いたAES方式により暗号化します。
暗号化されたデータ、ファイル名、AES鍵は%TEMP%ディレクトリ内の「.db」へ格納されます。
その後ファイルの最初の2KBをランダムデータで上書きします。
引用元:http://blog.emsisoft.com/2017/07/12/nemucodaes-ransomware-removal-decrypt/
システムに保存されているシャドウコピーを削除し、デスクトップ上に「DECRYPT.hta」というランサムノートを作成し、Bitcoinにておよそ$300(米ドル)を支払うよう指示します。
「.123」「.602」「.dif」「.docb」「.docm」「.dot」「.dotm」「.dotx」「.hwp」「.mml」「.odg」「.odp」「.ods」「.otg」「.otp」「.ots」「.ott」「.pot」「.potm」「.potx」「.ppam」「.ppsm」「.ppsx」「.pptm」「.sldm」「.sldx」「.slk」「.stc」「 .std」「 .sti」「 .stw」「 .sxc」「 .sxd」「 .sxm」「 .sxw」「.txt」「.uop」「.uot」「.wb2」「.wk1」「.wks」「.xlc」「.xlm」「.xlsb」「.xlsm」「.xlt」「.xltm」「.xltx」「.xlw」「.xml」「.asp」「.bat」「.brd」「.c」「.cmd」「.dch」「.dip」「.jar」「.js」「.rb」「.sch」「.sh」「.vbs」「.3g2」「.fla」「.m4u」「.swf」「.bmp」「.cgm」「.djv」「.gif」「.nef」「.png」「.db」「.dbf」「.frm」「.ibd」「.ldf」「.myd」「.myi」「.onenotec2」「.sqlite3」「.sqlitedb」「 .paq」「.tbk」「.tgz」「.3dm」「.asc」「.lay」「.lay6」「.ms11」「.crt」「.csr」「.key」「.p12」「.pem」「.qcow2」「.vmx」「.aes」「.zip」「.rar」「.r00」「.r01」「.r02」「.r03」「.7z,」「.tar」「.gz」「.gzip」「.arc」「.arj」「.bz」「.bz2」「.bza」「.bzip」「.bzip2」「.ice」「.xls」「.xlsx」「.doc」「.docx」「.pdf」「.djvu」「.fb2」「.rtf」「.ppt」「.pptx」「.pps」「.sxi」「.odm」「.odt」「.mpp」「.ssh」「.pub」「.gpg」「.pgp」「.kdb」「.kdbx」「.als」「.aup」「.cpr」「.npr」「.cpp」「.bas」「.asm」「.cs」「.php」「.pas」「.class」「.py」「.pl」「.h」「.vb」「.vcproj」「.vbproj」「.java」「.bak」「.backup」「.mdb」「.accdb」「.mdf」「.odb」「.wdb」「.csv」「.tsv」「.sql」「.psd」「.eps」「.cdr」「.cpt」「.indd」「.dwg」「.ai」「.svg」「.max」「.skp」「.scad」「.cad」「.3ds」「.blend」「.lwo」「.lws」「.mb」「.slddrw」「.sldasm」「.sldprt」「.u3d」「.jpg」「.jpeg」「.tiff」「.tif」「.raw」「.avi」「.mpg」「.mp4」「.m4v」「.mpeg」「.mpe」「.wmf」「.wmv」「.veg」「.mov」「.3gp」「.flv」「.mkv」「.vob」「.rm」「.mp3」「.wav」「.asf」「.wma」「.m3u」「.midi」「.ogg」「.mid」「.vdi」「.vmdk」「.vhd」「.dsk」「.img」「.iso」
