ランサムウェア”Data Keeper”による被害を確認。過去三番目のRaaS被害。

f:id:nanashi0x:20180225210329p:plain

www.bleepingcomputer.com

Data KeeperというRaaS(Ransomware as a Service)の部類に分類されるサービスが話題になっている。

RaaSのサービス形態を取るランサムウェアが確認されたのはこれで3件目である。

これまでにはSaturnやGandCrab等のRaaS型ランサムウェアが確認された。

Data Keeperは2,018年2月12日にローンチされ、同月20日に公開。その僅か二日後に最初の被害者が確認された。

Data Keeperの概要

Saturnのように、誰でもData Keeperの利用者ポータルサイトにサインアップする事が可能で、登録すればすぐに攻撃用のバイナリファイルをダウンロードすることが出来る。

世の中に存在する多くのWebサービスは一部の機能だけ無料公開して、全ての機能を利用するためにはアクティベーション・フィーを支払う必要があるが、Data Keeperは無料で全ての機能を使う事が出来る。

Data Keeperの管理者は、被害者が支払う身代金の数十%をRaaS登録ユーザーに支払う事をインセンティブとして、RaaS登録ユーザーに対してランサムウェアを拡散するよう促している。

同じRaaS型ランサムウェアのSaturnは、身代金の30%を登録ユーザーに報酬として支払う事を公開しているが、Data Keeperは報奨金の割合は公開していない。

Data Keeperのアプリの設定画面には、RaaS登録ユーザーが自身のBTCをアドレスを入力する事が出来る。

恐らくData Keeperの被害者が、指定のBTCアドレスに身代金を送付する際に、自動的に設定画面で入力されたBTCアドレスに”分け前”が送付されるのだろう。

Data Keeperを開発した人は高度な.NETスキルを有する

.NETで書かれたランサムウェアは、従来の見方だと「クオリティが低い傾向にある」と見なされて来たが、Data Keeperの開発者は高度な.NETコーティングスキルを有している事が伺える。

Data Keeperの調査を行なったData Keeperに関して調査を行なったMalwareHunterTeamのコメントを抜粋する。

 

Data Keeperは大まかに4つの層で構成されている。

  1. Dropperとして機能する.exeファイル・・・このDropperは、別の.exeファイルを.binファイルと一緒に、%LocalAppData%フォルダにランダムな文字列で、名前を付けて保存。
  2. Dropperによって保存された2つ目の.exeファイル・・・この.exeファイルは、以下のパラメータを使用して実行される(ProcessPriorityClass.BelowNormalとProcessWindowStyle.Hidden)。
  3. ②で実行された.exeファイルがdllファイルをロードする。
  4. ③でロードされたdllファイルが、別のdllファイルをロード。ここにランサムウェアが潜む。

 

Data Keeperは、上記したレイヤーのそれぞれに、リバースエンジニアリングを防ぐ目的で難読化ツールの”ConfuserEx”を使用している。

更に、別コンピュータをリモートで操作出来るWindows管理者ツール、”PsExec”も実装されているようだ。

PxExecが実装されているのは、同ネットワーク上の別コンピュータにランサムウェアを感染させる目的だとされる。

DataKeeperは”被害者泣かせ”

Data Keeperは、万が一被害に遭った時に復旧するまでの時間を長くするように出来ている。

以下に2つのポイントに分けて、いわば”被害者泣かせ”なData Keeperの設定に関して見ていく。

①暗号化したファイルの拡張子を変更せず

一般的にランサムウェアが感染端末のファイルを暗号化する際には、暗号化するファイルの拡張子を任意の文字列に変更する事が多い。

しかしData Keeperは暗号化するファイルの拡張子を変更しない。

その為、感染端末を使用するユーザーが実際に端末内のファイルを開かないと、どのファイルが暗号化されたかどうか判断できない。

Data Keeperの被害に遭った事実の確認方法に関しては、暗号化されたファイルを含むフォルダ全てに以下のようなHTMLファイルが作成される。

"!!! ##### === ReadMe === ##### !!!.htm"

そのファイルを開くと、以下の様に表示される。

f:id:nanashi0x:20180225210343p:plain

 

②ネットワーク上のシェアフォルダ全てを暗号化する

Data Keeperの開発者が、暗号化したファイルの区別を不可能にしたのは、ユーザーが身代金を払う可能性を上げる目的だと思われる。

更にData Keeperが暗号化するのは、感染端末内のファイルに限らない。

感染端末のユーザーがアクセス権限を有する、全てのネットワークシェアフォルダに保存されているファイルも暗号化の対象となってしまう。

その為、企業内でも広範囲にアクセス権限を有するユーザーが感染すると、最悪の場合ネットワーク上の殆どのファイルが暗号化されてしまう事になるだろう。

IOC

Encrypter:

912bfac6b434d0fff6cfe691cd8145aec0471aa73beaa957898cfabd06067567

Decrypter:

8616263bdbbfe7cd1d702f3179041eb75721b0d950c19c2e50e823845955910d

ランサムノート:

All files in this directory have been encrypted.

For decrypt files:

Download Tor Browser

Run it

For create decryption keys, copy link at the bottom of this page and paste to the address bar and go it

If count of links greather than one, next link must be added ONLY AFTER PAYMENT FOR PREVIOUS KEY.

Links for create decryption keys:

(Do not change the "token" parameter otherwise your data will be lost)

[REDACTED_URL]