OphionLocker、楕円曲線を使用した新しいランサムウェア、通信にはTor、拡散にはマルバタイジングを使用

Table Of Contents

• OphionLockerランサムウェアは、暗号化に楕円曲線を使用し、通信にTor、拡散にマルバタイジングを使用
• 楕円曲線暗号
• 動作
• ランサムウェアがますます頑固になっている

OphionLockerランサムウェアは、暗号化に楕円曲線を使用し、通信にTor、拡散にマルバタイジングを使用

Trojan7Malwareの研究者によって新しい種類のランサムウェアが発見されました。OphionLockerと名付けられたこのランサムウェアは、ファイルの暗号化に楕円曲線暗号を使用し、通信にTorを使用するという点で非常にユニークです。OphionLockerのもう一つのユニークな特徴は、従来のスピアフィッシング手法ではなく、マルバタイジングキャンペーンを使用して自らを拡散させることです。

楕円曲線暗号

楕円曲線暗号（ECC）は、有限体上の楕円曲線の代数構造に基づく公開鍵暗号です。ECC暗号の主な利点の一つは、より小さなサイズの鍵で同じレベルの暗号化を提供することです。

この代数的な暗号化形式は、ランダムな楕円曲線要素の離散対数を解くことに基づいています。これは、非常に大きな素数の積を因数分解するというより一般的なアイデアと同様に、公開鍵暗号システムのセキュリティを支える一方向関数を提供します。ECCは、限られた計算能力を持つシステム、例えばスマートフォンにとって特に有利な、より小さな鍵サイズで同等のセキュリティレベルを提供します。

動作

潜在的な被害者がマルバタイジングコードを提供するウェブサイトを訪問してマルウェアをダウンロードすると、それは利用可能なファイルを暗号化し、その後、復号ツールの支払い方法に関する指示ページに移動するためにTor2web URLを使用します。攻撃者は、復号ツールのために1ビットコインの支払いを要求し、これは今日の為替レートで350ドルに相当します。ただし、復号ツールの価格は被害者の地理的位置に応じて変わる可能性があります。Trojan7Malwareは、このランサムウェアのファイル暗号化パターンを以下のように示しています。これはCryptoLockerやTorLockerによって暗号化されたファイルタイプに似ています。

暗号化された拡張子；
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

このランサムウェアの興味深い点は、動作している環境を認識しようとすることです。マルウェアが仮想環境を検出すると、支払いを要求しません。仮想環境は、セキュリティ研究者がこのようなマルウェアに対抗するために一般的に使用されます。

このマルウェアのもう一つのユニークな機能は、HWID（ハードウェア識別）番号を生成して、PCごとに1つのサンプルしか生成できないようにすることです。

このマルウェアの著者/ハンドラーは、セキュリティ研究者からランサムウェアをできるだけ長く隠すためにこれらの技術を使用しているようで、また、セキュリティ研究者によって侵害されたと見なされるPCをブラックリストに登録しています。

OphionLockerは、インターネット接続やユーザーの操作を必要とせずに暗号化を開始できるため、以前のランサムウェアのアバターよりも致命的です。これは、被害者がダウンロードしたペイロードに公開鍵がすでに存在するためです。これにより、感染を検出したり防止したりすることが難しくなります。

ランサムウェアがますます頑固になっている

これらのランサムウェアの拡散と悪質さ、そしてハンドラー/攻撃者/著者は、ますます巧妙な暗号化技術を使用して、より良く大胆になっているようです。高プロファイルのCryptoLockerの摘発にもかかわらず、ランサムウェアはユーザーにとって致命的な脅威であり続けています。この種のマルウェアの著者によって採用された技術の進歩は、楕円曲線暗号を使用した小さな鍵の暗号化と、コマンド＆コントロールサーバーとの通信にTorの匿名ネットワークを使用するOphionLockerに見られます。

Resource : Trojan7Malware