Expetrの動作を分析 Kaspesky社による報告

引用元:https://securelist.com/no-free-pass-for-expetr/79008/

 

 

(画像2：権限を確認する機能)

引用元:https://securelist.com/no-free-pass-for-expetr/79008/


(画像3：実行中プロセスの列挙)

引用元:https://securelist.com/no-free-pass-for-expetr/79008/
InfectMbrは不正なGoldenEye暗号化コードをMBRへ書き込み、再起動後、このコードはMFT(ファイルやディレクトリごとに重複しない1つのデータに対応する固定サイズのレコードによって形成される、ファイルの属性を記録するスペース)と各ファイルの1024バイトを暗号化します。WipePhysicalDriveは、ディスクの最初の10セクタをランダムに上書きします。

WipePhysicalDrive関数は以下の条件が整うと開始されます。
・avp.exeが実行中プロセスとして検出されることりより発生する、実行時設定がビットによって設定されていない場合
・InfectMbr関数が失敗した場合

 

(画像5：条件のサイクル)

引用元:https://securelist.com/no-free-pass-for-expetr/79008/
WipePhysicalDriveは、avp.exeプロセスが実行中であるかどうかに左右されず開始が可能で、MBRへの不正なコードの書き込みが失敗した場合に呼び出されます。
例えば、導入されているセキュリティ製品によってこの動作が検知、及びブロックされると、WipePhysicalDriveが動作する可能性があります。
MBRが不正コードに感染しているか、あるいは、ランダムな文字列で上書きされたかに関わらず、ExpetrはAES暗号とRSA暗号、攻撃者の公開鍵を用いて、標的のファイルの暗号化を試みます。