どもどもにゃんたくです(「・ω・)「ガオー
新しいランサムウェア『Bad Rabbit(バッドラビット)』について話題になっているため、現時点(2017/10/25 AM09:30時点ですが都度更新予定)で、僕が収集できた情報をまとめておきます。
※とりいそぎ、ですので悪しからずm(_ _)m
今回の感染ですが、
・Webサイトに悪意のあるjavascriptが埋め込まれてしまい、サイトにアクセスした利用者はドライブバイダウンロードで感染する
・悪意のあるjavascriptが埋め込まれたサイトでは偽のFlash Player用のアップデートをダウンロードするよう求めるポップアップが表示される
・上記のアップデートを『インストール』するとランサムウェアに感染してしまう
という流れで感染してしまうようです。
- 偽のFlash Player用のアップデートでインストールされる『install_flash_player.exe』情報
- 『install_flash_player.exe』をインストールしたあとにコンピュータ上で作成されるファイル一覧
- 感染後の通信先
- 暗号化される拡張子まとめ
- 参考情報
偽のFlash Player用のアップデートでインストールされる『install_flash_player.exe』情報
▼ファイル名
install_flash_player.exe
▼Hash値
・SHA-256
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
・MD5
fbbdc39af1139aebba4da004475e8839
de5c8d858e6e41da715dca1c019df0bfb92d32c0
▼Virustotal結果
▼install_flash_player.exeのインストール先のドメイン
1dnscontrol [.] com
※Virustotal結果→https://www.virustotal.com/#/domain/1dnscontrol.com
※URLは、hxxp://1dnscontrol[.]com/flash_install[.]php
『install_flash_player.exe』をインストールしたあとにコンピュータ上で作成されるファイル一覧
C:\Windows\infpub.dat
C:\Windows\cscc.dat
C:\Windows\dispci.exe
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
▼infpub.dat
Hash値:579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
※Virustotal結果
※SMB経由で他のコンピュータに広がる機能も含む
▼cscc.dat
Hash値:0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
※Virustotal結果
▼dispci.exe
Hash値:8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
※Virustotal結果
▼drogonやvise rionについて
これらは、
・ログイン時に他のプログラムを実行
・Windowsが起動する前にブートロック画面を表示
・コンピュータをシャットダウンして再起動
の機能を含んでいる
感染後の通信先
hxxp://caforssztxqzf2nm[.]onion
※Virustotal結果
暗号化される拡張子まとめ
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
参考情報
Bad Rabbit ransomware - Securelist
Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers | ZDNet
https://gizmodo.com/bad-rabbit-ransomware-strikes-russia-and-ukraine-1819814538
ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 - ITmedia エンタープライズ
Return of Not Petya as Bad Rabbit Diskcoder, yes those two are the same! – Mjolnir Security
データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 - GIGAZINE
「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か - ZDNet Japan
https://otx.alienvault.com/pulse/59effcdc7b645929152518a9/
https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/
新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される | トレンドマイクロ セキュリティブログ
ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 -INTERNET Watch
ランサムウェア「Bad Rabbit」、日本の被害情報は“錯綜” - ZDNet Japan
新種ランサムウェア「Bad Rabbit」、国内でも感染か - JPCERT/CC | マイナビニュース
【セキュリティ ニュース】「Petya」類似の新種ランサム「Bad Rabbit」 - ニュースサイト経由で感染誘導(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】ランサム「Bad Rabbit」拡散、国内サイトも踏み台に - 3.8%を日本で検出(1ページ目 / 全2ページ):Security NEXT
感染が拡大中のランサムウェア「Bad Rabbit」の対策について:IPA 独立行政法人 情報処理推進機構
以上です。何かの参考にしていただけたら幸いです。
<更新履歴>
2017/10/25 10:20 公開
2017/10/25 11:50 参考情報追記、暗号化される拡張子まとめの項目追加
2017/10/25 20:00 参考情報追記
