今週になり、さらに別のランサムウェアであるBandarChorについて、当社では多数の報告を受けた。

 厳密には、このランサムウェアは新しいものというわけではない。このファミリーに関連して最初に感染に気付いたのは、去年11月までさかのぼる。

November

 BandarChorは、メール経由で拡散しているという報告を受け取ったほか、エクスプロイトキットで配信されている可能性が示唆されている。

 実行すると、当該マルウェアは自身のコピーと共に、身代金について指示する画像をスタートアップディレクトリにドロップする。

filenames

 次に、doc、xls、jpgのような各種のファイル拡張子を持つファイルの暗号化を試みる。

fileext

 暗号化の後、ファイル名を[filename].id-[ID]_fud@india.comにリネームする。

files

 さらにHTTP POSTにより、ユーザのコンピュータの名前とIDをあるリモートサーバに報告する。

network

 身代金メッセージについては、以下に掲載する。

fud@india.com

 以下は、今回の脅威に関連して、当社で目にしたその他のドメインの一覧だ。

   •  martyanovdrweb.com
   •  www.fuck-isil.com
   •  www.ahalaymahalay.com
   •  kapustakapaet.com
   •  www.decryptindia.com
   •  www.enibeniraba.com
   •  www.netupite.com
   •  89025840.com
   •  xsmailsos.com
   •  sosxsmaillockedwriteonxsmailindia.com
   •  baitforany.com
   •  euvalues.com

 この脅威は当社ではTrojan:W32/BandarChorとして検知する。

 ハッシュ:

   •  31aa8ec187e1241a94127336996f9cb38719eb9b
   •  4b356b88fb3a3dce1f009e4e92cd4a59383e0764
   •  5f71be645e8ac995555a891087b46ed357386dbe
   •  afd4216e93a82feebafd3a68e9308ca4b0b54372
   •  b4362fcd75fd071fc8237c543c56df5736b8e177
   •  ba8909eef5ee280ae43b935cf4ae38ccf21bde56
   •  de7ced27456a1e4581d6a4bf126f56061b7f9859