CryptoMixから派生した亜種”0000”というランサムウェアに関する概要
BleepingComputerのMalwareHunterTeamsが、CryptoMixから派生して作成されたランサムウェアを発見した。
このランサムウェアは、感染端末内に保存されているファイルを".0000"という拡張子に変更し、暗号化する。
この記事内では、便宜上このランサムウェアを”0000”と呼ぶことにする。
ランサムノートはCryptoMixとほぼ同じ
今回発見された0000は、CryptoMixで使用されていものと同じ暗号方式であるRSA-1024を使用して、感染端末内のファイルを暗号化するようだ。
CryptoMixでは、
感染端末の所有者に身代金を要求する脅迫文を記した”ランサムノート”のファイル名は、”_HELP_INSTRUCTION.TXT”のままのようだ。
(0000のランサムノート。BleepingComputerより引用。)
しかし、0000のランサムノートに記載されている、攻撃者との連絡用のメールアドレスは変更されているようだ。
- y0000@tuta.io
- y0000@protonmail.com
- y0000z@yandex.com
- y0000s@yandex.com
ファイル名をランダムに変更し".0000"を拡張子に
冒頭でも紹介した通り、このランサムウェアは感染端末のファイルの拡張子を.0000に変更する。
ファイル名は、ランダムな文字列に変更されるようだ。
Bleeping Computerが行なったテストでは、以下のような文字列に変更されたという。
・0D0A516824060636C21EC8BC280FEA12.0000
(0000によって暗号化されたファイルを含むフォルダ。BleepingComputerより引用。)
また、0000は11個のRSA-1024公開鍵で感染端末のファイルを暗号化する。
このRSA-1024公開鍵の目的は、既にAES暗号鍵で暗号化したファイルをさらに暗号化する為のようだ。
ちなみに、0000に含まれる11個のRSA公開鍵を使用するこの手法は、同じCryptoMixから派生した亜種であるXZZXランサムウェアと同じと言われている。