2017年6月最終週、Petyaランサムウェアの新種が発見され、ヨーロッパ全域およびアジア諸国にも大混乱を引き起こしました。Petyaの主要ターゲット国は、ウクライナで、主要銀行やエネルギー関連サービスが攻撃を受けました。今回のPetyaランサムウェアは、2016年に発見されたものの新種であります。この新種は、世界中に大打撃を与え、Wanacryランサムウェアの拡散技術を応用している点が特徴です。

この新種のPetyaランサムウェアは、以下の点で今までのランサムウェアと比べ物にならないほど、危険といえます。ユーザのデータを暗号化するだけではなく、マスターファイルテーブル(MFT)も暗号化し、マスターブートレコード(MBR)も上書きしてしまう、というものです。このランサムウェア攻撃の詳細を見ていきましょう。

Petyaランサムウェア

ランサムウェアは、2つのコンポーネントを実行の際にドロップしてきます。このコンポーネントの両方とも、圧縮形式でランサムウェアバイナリのリソース領域に存在します。

ドロップコンポーネント

Component Description
c:\windows\dllhost.dat PSEXEC utility from Sysinternals toolkit
%TEMP%\<random name>.tmp Custom built password dumper tool similar as Mimikatz

ランサムウェアは、特権を入手し、Mimikatzに似た、パスワード抽出ツールを使って、アクティブセッションの資格情報を盗み出します。

拡散に使われる最初のメソッドは、MS17-010セキュリティ情報で公開されている、脆弱性を攻撃します。'ETERNALBLUE'エクスプロイトは、パッチをあてていないマシンを攻撃してきます。もし、SMBの脆弱性にパッチが当てられていれば、Petyaランサムウェアは、PSEXEC と WMIC技術を駆使して、以下のようにネットワークに拡散します。'admin$'で、ローカルのネットワークをスキャンし、ネットワークを介して、自身を共有、コピーしていきます。同時にリモートから、以下のようなPSEXECを使って新しくコピーされたマルウェアのバイナリを実行します。

ランサムウェアによって使われる、もう一つのリモートからのプロセス実行手段は、リモートで盗み出した資格情報をもって、ランサムウェアを実行する、Windows Management Instrumentationコマンドライン(WMIC)です。WMICで使われているコマンドは、以下のようなコードスニペットです。

"%ws"は、現在のマシン名とユーザ資格情報のための文字列になります。

暗号化

ランサムウェアは、自身のマルウェアコードをマスターブートレコード(MBR)に書き込み、マスターファイルテーブル(MFT)を暗号化します。以下のコードスニペットは、MBRにどのように書き込むかを示しています。

MBRが感染すると、現在時刻からみて10から60秒後にコンピュータを再起動するようにセットされます。再起動後、サービス生成と組み合わせて'shutdown.exe'または、'at'コマンドが実行されます。

システムの再起動によって、ランサムウェアは、CHKDSKメッセージを画面上に表示させ、以下のように、バックグラウンドで暗号化を開始します。

 

ランサムウェアは、システム上にある以下のファイルタイプを暗号化します。

.3ds .7z .accdb .ai .asp .a spx .avhd .back .bak
.c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc
.docx .dwg .eml .fdb .gz .h .hdd. dbx .mail .mdb
.msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt
.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar
.vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx
.vsv .work .xls .xlsx .xvd .zip    

ファイルは、AES-128アルゴリズムで暗号化されます。1つのAES暗号キーは、1ドライブのファイル暗号化にのみに使われます。ファイル暗号に使われるAES-128の暗号キーは、RSA-2048暗号化アルゴリズムによってさらに暗号化されます。なお、RSAに使われる公開鍵は、Base64エンコード形式で、バイナリ自身の中にあります。

この完璧すぎる手順により、以下のような身代金要求が、スクリーン上に表示されることとなります。

Seqriteによる検知

Quick Healユーザは、Petyaランサムウェア攻撃から、すでに防御されています。

Indicators of compromise:

71B6A493388E7D0B40C83CE903BC6B04
E285B6CE047015943E685E6638BD837E
c:\windows\dllhost.dat
c:\windows\perfc.dat

以下もぜひお読みください

http://blogs.seqrite.com/petya-ransomware-is-affecting-users-globally-here-are-things-you-can-do/
http://blogs.seqrite.com/wannacrys-never-say-die-attitude-keeps-it-going/
http://blogs.seqrite.com/ms17-010-windows-smb-server-exploitation-leads-to-ransomware-outbreak/
http://blogs.seqrite.com/wannacry-ransomware-creating-havoc-worldwide-by-exploiting-patched-windows-exploit/

Acknowledgement

Subject Matter Expert:

  • Prakash Galande
  • Tejas Girme
  • Shriram G. Munde
  • Shantanu A. Vichare.

– Quick Heal Security Labs