WDのNASをターゲットに拡散する”SambaCry”ランサムウェア。
”SambaCry”というランサムウェアが発見された。
サイバーセキュリティに関するトピックを扱うメディアのBleeping Computerが管理するフォーラムで報告された。
同フォーラムでは、ユーザーがSambaCryptランサムウェアに関するスレッドが作成され、情報共有を行っている。
SambaCryptの概要
SambaCryptのターゲットとする端末は、WesternDigital等が製造したNASデバイスである。
SambaCryptは、一般的なランサムウェア同様に、感染端末のデータを暗号化し、ランサムノートを残して被害者に0.4BTCから2BTC(50万〜120万程度:執筆時点)の身代金を請求する。
また被害に遭ったユーザーの報告によれば、NAS端末上の各シェアフォルダに、以下の2つのファイルが保存されているようだ。
コンピュータがNAS上の感染フォルダをクリックするとAutorun.infが参照され、”美女与野兽.exe"の感染を拡大していく仕組みとなっているようだ。
SambaCry脆弱性をエクスプロイト
このランサムウェアが、”SambaCrypt”という名前を持つ理由は、脆弱性の”SambaCry”をエクスプロイトするからだ。
SambaCryは、Linuxの既知脆弱性(CVE-2017-7494)である。
攻撃者は、SambaCryをエクスプロイトする事で、Shellを起動し、ファイルのダウンロード、遠隔からシェルコマンドの実行をする事ができる。
エクスプロイト手法は、過去にSambaCryをエクスプロイトしてNASに暗号通貨をマイニングするバックドアが仕込まれた時に使用された手法と同じのようだ。
参考URL(外部リンク)
感染方法
まず攻撃者は、SambaCryをエクスプロイトして、”StorageCrypt”というランサムウェアをコンピュータにダウンロードする。
Sambaがエクスプロイトされる際には、以下のコマンドが実行される。
(Sambaがエクスプロイトされる時に実行されるコマンド。BleepingComputerより引用。)
最終的に、StorageCryptがNAS上にインストールされると、NAS上の全てのファイルが暗号化される。
暗号化されたファイルは、ファイル名が変更され、拡張子は”.locked”になる。
このランサムウェアは、”_READ_ME_FOR_DECRYPT.txt”というランサムノートを残す。
ランサムノートには、攻撃者の用意したメールアドレスにコンタクトする旨と、身代金を請求する指示が書かれている。
(ランサムノートの画像。BleepingComputerより引用。)
更に、前述したとおり、感染している最中にAutorun.infと美女与野兽.exeをNAS上の各フォルダに追加する。
その目的は、(まだ感染していない)他の端末が、該当のNASにアクセスした際にランサムウェアに感染させる為である。
攻撃者が用意したビットコインアドレスには、1BTCを受け取った記録が残されている。
この記録が、ランサムウェアの被害者によって支払われたものかどうかは不明だ。
感染防止方法
月並みな方法ではあるが、NASをインターネットに直接接続しないことだ。
NASをファイアウォール内に設置し、NASとの通信に於いてはVPNで通信を行う事で、SambaCryptの感染を防ぐことが出来る。
IOC
Hashes
美女与野兽.exe - 90024e7ce704b9a186964cf05bce65fa4b620fff5461036532cafd94db4ae050
3exfglYZ.so - 7ce136262994ca82b1123cde62caf69e42281eb258d641205ba59b55f5558684
sambacry - ef7ee620ce09cd8edca81dc7866fbe87405c4a8ac88f985ac350269d8d081073
ランサムノート
Warning
Your documents,photos,databases,important files have been encrypted by RSA-4096 and AES-256!
If you modify any file, it may cause make you cannot decrypt!!!
Don't waste your precious time to try decrypt the files.
If there is no key that we provide to you , NO ONE can decrypt your precious files, even Jesus.
How to decrypt your files ?
You have to pay for decryption in bitcoin
To decrypt your files,please following the steps below
1,Pay 2.0 bitcoin to this address: [bitcoin_address]
Pay To : [bitcoin_address]
Amount : 2.0
2,After you have finished paying,Contact us and Send us your Decrypt-ID via email
3,Once we have confimed your deal,You can use the tool we sent to you to decrypt all your files.
How to obtain bitcoin ?
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
https://localbitcoins.com/buy_bitcoins
https://paxful.com/buy-bitcoin
If you have any questions please do not hesitate to contact us
Contact Email : JeanRenoAParis@protonmail.com
Decrypt-ID :
攻撃者に関連したEメールアドレス
JeanRenoAParis[at]protonmail.com
URL
hxxp://45.76.102.45/sambacry
