BleepingComputerのMalwareHunterTeamsが、CryptoMixから派生して作成されたランサムウェアを発見した。

このランサムウェアは、感染端末内に保存されているファイルを".0000"という拡張子に変更し、暗号化する。

この記事内では、便宜上このランサムウェアを”0000”と呼ぶことにする。

ランサムノートはCryptoMixとほぼ同じ

今回発見された0000は、CryptoMixで使用されていものと同じ暗号方式であるRSA-1024を使用して、感染端末内のファイルを暗号化するようだ。

CryptoMixでは、

感染端末の所有者に身代金を要求する脅迫文を記した”ランサムノート”のファイル名は、”_HELP_INSTRUCTION.TXT”のままのようだ。

(0000のランサムノート。BleepingComputerより引用。)

しかし、0000のランサムノートに記載されている、攻撃者との連絡用のメールアドレスは変更されているようだ。

• y0000@tuta.io
• y0000@protonmail.com
• y0000z@yandex.com
• y0000s@yandex.com

ファイル名をランダムに変更し".0000"を拡張子に

冒頭でも紹介した通り、このランサムウェアは感染端末のファイルの拡張子を.0000に変更する。

ファイル名は、ランダムな文字列に変更されるようだ。

Bleeping Computerが行なったテストでは、以下のような文字列に変更されたという。

・0D0A516824060636C21EC8BC280FEA12.0000

(0000によって暗号化されたファイルを含むフォルダ。BleepingComputerより引用。)

また、0000は11個のRSA-1024公開鍵で感染端末のファイルを暗号化する。

このRSA-1024公開鍵の目的は、既にAES暗号鍵で暗号化したファイルをさらに暗号化する為のようだ。

ちなみに、0000に含まれる11個のRSA公開鍵を使用するこの手法は、同じCryptoMixから派生した亜種であるXZZXランサムウェアと同じと言われている。