Cobraランサムウェアが拡散。Crysisの亜種で、ファイル復元は不可能。 - 忙しい人のためのサイバーセキュリティニュース

f:id:nanashi0x:20171111220844p:plain

セキュリティ研究者、Michael Gillespie氏(@demonslay335)は、Crysis/Charmaランサムウェアの亜種が、ID-Ransomwareにアップロードされた事を公表。

更にJakub Kroustek氏(@JakubKroustek)が、同サイトにアップロードされたサンプルが、Crysisランサムウェアを元に作成された新種のランサムウェアである事を確認したようだ。

そこでこの記事では、まずCrysisに関して説明をし、今回発見されたCrysisの亜種に関して報告されている事を説明していきたい。

Crysisランサムウェアとは何か？

Crysisランサムウェアは、RSAとAESを使って暗号化する。

暗号化キーの文字列がかなり長いことから、復号化はほぼ不可能とされている。*1

その為、Crysisランサムウェアに感染した端末は、ファイルの復元をする以外にCrysisランサムウェアの感染を解く方法は無いとされているようだ。

(もし、Crysisランサムウェアに関する詳細を知りたい場合は、記事下のReference欄にリンクを貼り付けておくので参照していただきたい。)

Crysisによる被害は123カ国に広がる

ESETの公表によれば、Crysisの検知数が増加したのは、2016年5月末だったという。

123カ国で検知を確認しているが、検知数の60%はなんと10カ国のようだ。注釈3

f:id:nanashi0x:20171111220634j:plain

(国別Crysisの検知数を示すグラフ。ESETより引用。)

Cobraの独特な拡張子変換

Cobraは、一見独特な方法でファイル拡張子を変換する。

・*.id-[id].[email].cobra

例えば、”書類.docx”というファイルの場合は、

・書類.docx.id-BCBEF350.[cranbery@colorendgrace.com].cobra

のようにファイル名が変換されるのだ。

f:id:nanashi0x:20171111220356j:plain

(Cobraが暗号化したファイルの例。Bleeping Computerより引用。)

さらに、Cobraがファイルを暗号化する際、Windows標準のシャドウボリュームを削除する。

削除する際に使うコマンドは、以下になる。

・vssadmin delete shadows /all /quiet

そうすることで、ユーザーはバックアップデータを使って暗号化されたファイルの復元ができなくなってしまう。

Cobraのランサムノート(脅迫文)

Cobraは、2種類のランサムノートを表示する。

1つ目は、info.htaというファイルで、ユーザーが端末にログオンした際に自動的に起動する。

f:id:nanashi0x:20171111220429j:plain

(info.htaの画像。Bleeping Computerより引用。)

別のファイルは、encrypted!!.txtというファイル。

このテキストファイルは、デスクトップに保存される。

f:id:nanashi0x:20171111220535j:plain

2種類のファイルとも、マルウェア作成者のものと思われる

cranbery@colorendgrace.comに連絡するように記載されている。

Cobraの拡散方法

発見されたランサムウェアがどのように拡散するかは不明のようだ。

しかし、元のCrysisはRemote Desktop Serviceを使って拡散されていた事から、Cobraも同様の手段で拡散すると予想される。

IOC

ハッシュ

COBRA SHA256: de6376e23536b3039afe6b0645da4fc180969b1dc3cc038b1c6bd5941d88c4d8

ランサムノート(Files encrypted!!.txt)

All your files have been encrypted,

to decrypt them contact us using the e-mail address:

cranbery@colorendgrace.com

As a proof we can decrypt 3 files for free.

ランサムノート(INFO.hta)

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail cranbery@colorendgrace.com

Write this ID in the title of your message [id]

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.

https://localbitcoins.com/buy_bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:

http://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attention!

Do not rename encrypted files.

Do not try to decrypt your data using third party software, it may cause permanent data loss.

Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.