今年8月、SynoLockerやCryptoWallといった一連のランサムウェアについてのブログを書いた。Cryptowallに関するポストの中で、より高度なランサムウェアファミリーCTB-Lockerについて簡単に触れている。これはファイルの暗号化に楕円曲線暗号を、またC&Cサーバとの通信にTorを使用している。
今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。
感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。
このランサムウェアは、次の拡張子を持つファイルを暗号化する。
以下は、暗号化後にユーザに表示するメッセージだ。
ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。
hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。
ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。
無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。
復号機能を試すと、以下のメッセージが示される。
「OK」をクリックすると、直後に別のメッセージをポップアップする。
ただ残念ながら、どのファイルも復号されなかった。
SHA1:
eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D
今週になり、暗号化に同じ暗号処理を用いている別のランサムウェアが出現した。最初は、RIGエクスプロイトキットを使用したマルバタイジングキャンペーンの中から、Trojan7Malwareにより見出された。彼らはそのマルウェアをOphionLockerと名づけた。
感染すると、送金して復号ツールを入手する方法について、Tor2webを用いて指示を送ってくる。
このランサムウェアは、次の拡張子を持つファイルを暗号化する。
以下は、暗号化後にユーザに表示するメッセージだ。
ENCRYPTED[..].txtというフォーマットの複数のファイルが作成される。これには被害者のマシン用に生成したhwid(ハードウェアID)が含まれる。
hwidを入力すると、1 BTCを要求する身代金メッセージが表示される。
ただし、仮想環境上で感染すると、OphionLockerは少々異なる芸当を見せる。hwidは依然として提示するのだが、表示されるメッセージの中で身代金の支払いは求めない。
無料で復号を提示するのだ!いや、そんなうまい話が本当だとは思えないんだが、我々は引き続き試さなければならない。念のため、セキュリティ研究者に親切である場合に備えて。
復号機能を試すと、以下のメッセージが示される。
「OK」をクリックすると、直後に別のメッセージをポップアップする。
ただ残念ながら、どのファイルも復号されなかった。
SHA1:
eb78b7079fabecbec01a23c006227246e78126ab (ransomware) - Trojan:W32/Ransomware.D
