”GIBON”というランサムウェアを確認。スパムメールで感染拡大
”GIBON”というランサムウェアが確認された。
Proofpointのセキュリティ研究者Matthew Mesaによって名付けられたGIBONは、スパムメールでマクロウイルス付きの文書ファイルとして拡散されているようだ。
Michael Gillespie氏の調査によれば、GIBONによって暗号化されたファイルを復号化することが出来るようだ。
なぜGIBONと呼ばれているのか?
一般的にランサムウェアが発見された際に、発見者によって名前が付けられる事が多い。
その時参考にされるのが、 .exeファイル内で使われている変数名や、他にマルウェア内のコードに使われている特定の文字列である。
GIBONの場合は、「マルウェア内のコードに使われている特定の文字列」を使ってGIBONと名付けられたようだ。
GIBONがC&Cサーバーと通信を行う際に、User-Agent変数にGIBONという文字列を使っている。
(C&Cサーバーと通信している際の画面)
また、他にもランサムウェアの管理画面にGIBONと明記されているのだ。
(GIBONの管理画面)
GIBONが感染端末を暗号化する方法とは
(※現段階で提供されている情報に限りがあるので詳細に説明できないことをお許し下さい。)
GIBONが起動するとまずC&Cサーバーに接続し、感染端末に関する情報を登録する。
この通信を行う際、base64でエンコードされたデータでサーバーにデータを送信する。
データの内容は、タイムスタンプ、Windowsのバージョン、攻撃者の管理する被害者データベース用のIDである。
尚、データ内に”被害者データベース用のID”が存在するという事は、その端末が初めてGIBONに感染した事を意味する。
その後、C&Cサーバーはレスポンスを感染端末に出す。
このレスポンスには、base64でエンコードされたStringが含まれている。このStringは、GIBONがランサムノート(脅迫文)として使用する文字列が含まれている。
このように、ランサムノートがC&Cサーバーから送信されるようにする事で、攻撃者はランサムノートをアップデートすることが出来るようになる。
言い換えれば、新しい.exeファイルに脅迫文をハードコードしてコンパイルするよりも簡単に別の脅迫文を作成できるという事だ。
以下の画像では、C&Cサーバーからから感染端末に出されるレスポンスを示している。
C&Cサーバーに感染端末が登録されると、感染端末上で自動で暗号鍵が生成され
C&Cサーバーに送信される。
この暗号鍵は、感染端末上でファイルを暗号化する際に使用されるようだ。
ここまでのプロセスを経ると、ランサムウェアは感染端末のファイルを暗号化し始める。
暗号化は、Windowsフォルダ以外の全てを拡張子に関わらず行われる。
また暗号化されたファイルは”.encrypt”という拡張子を使って暗号化される。
暗号化している途中、GIBONはC&Cサーバーにpingを送信し続ける。その目的は、”暗号化している最中”という事実を示すためのようだ。
また、暗号化されたフォルダには、 READ_ME_NOW.txt.というテキストファイルが生成される。
このテキストファイルはランサムノートで、感染端末に何が起きたのかを説明し、支払いに関する説明を貰うために以下の2つのメールアドレスに連絡するよう説明書がされている。
- bomboms123@mail.ru
- subsidiary:yourfood20@mail.ru
以下の画像は、ランサムノートである。
IOC
ハッシュ
SHA256: 30b5c4609eadafc1b4f97b906a4928a47231b525d6d5c9028c873c4421bf6f98
ファイル
READ_ME_NOW.txt
関連メールアドレス
bomboms123@mail.ru
subsidiary:yourfood20@mail.ru
GIBONのランサムノート
Attention! All the files are encrypted!
To restore the files, write to the mail:bomboms123@mail.ru
If you do not receive a response from this mail within 24 hours,
then write to the subsidiary:yourfood20@mail.ru