McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

Corporate] 2016年3月22日 更新

Neutrino Exploit Kit経由で侵入するランサムウェア、TeslaCrypt

 

本投稿は、Sriram P.およびVaradharajan Krishnasamyが執筆しました。
TeslaCryptは被害者のファイルを暗号化して、暗号化解除として被害者からお金を脅し取るランサムウェアの一種です。その他のランサムウェアと同様に、TeslaCryptは大規模なスパム行為を経由して拡散するだけでなく、下記のような別のマルウェアと一緒にダウンロードされることでも広まります。

  • W97M/Downloader
  • JS/Nemucod
  • Angler exploit kit
  • Neutrino exploit kit
  • Generic downloader

Intel Securityは先週、TeslaCryptのダウンロードをNeutrino exploit kitを使用して行う新たな手口を発見しました。

他のエクスプロイトキットと同様、Neutrinoはさまざまな脆弱性を狙って、エクスプロイトファイルが置かれた悪意のあるランディングページにユーザーをリダイレクトします。リダイレクト用のリンクはスパムメールを経由して広まります。


リンクがクリックされると、エクスプロイトキットはダウンロード型のトロイの木馬を送り込み、被害者のマシン上で実行します。トロイの木馬のペイロードがドメイン名をランダムに生成し、次のパラメータを使ってリモートにあるサーバーにアクセスします。

Nk11

変数「_wv=」には、「ZW50ZXI=」という「Enter」コマンドにデコードするBase64形式のテキスト文字列が割り当てられています。

サーバーは404エラーのページを返します。HTMLページのコメント部分には「Enter」コマンドに対する応答が存在しており、「成功」の応答にデコードするために、Base64のテキスト(<!—c3VjY2Vzcw==—>)に再度エンコードされます。

Nk2_2

マルウェアは成功メッセージを受け取ると、クッキー認証されたブラウザと同じユーザーエージェントを使用して、エンコードしたデータの返信と一緒に応答を返します。

Nk3768x288_2

データは以下の形式でエンコードされます。

cmd&<GUID of Machine >&<Logged-in Username:System Name:Domain Name>&<Windows Version and Platform> &<AV product Info>&<Date and Time of Execution>
被害を受けたマシンには、リモートサーバーからTeslaCryptを送りこむためのダウンロードリンクが、別の404エラーのページと一緒に返されます。

Nk768x329

コメント部分は次の形式にデコードされます。

<random ldap timestamp>#<>#<>#LOADER hxxp://103.*****.148/*****.exe#
実行に成功すると、TeslaCryptは被害者のマシン内のファイルを暗号化して、暗号化を解除するためにお金を要求します。
私たちが確認した本マルウェアと関連するドメイン名は次の通りです。
• nutqauytva100azxd.com
• nutqauytva11azxd.com
• nutqauytva513xyzf11zzzzz0.com
• nutr3inomiranda1.com
• nutqauytva9azxd.com
これらのドメインは、すでにMcAfee SiteAdvisorにて悪意のあるドメインとして登録されています。

Site

本マルウェアの感染を防止する方法

• 本エクスプロイトキットは、CVE-2015-2419, CVE-2015-7645などのパッチで対処することが可能な既知の脆弱性を標的としています。Intel SecurityはInternet Explorer、Adobe Flashなどの最新のパッチを適用することを推奨します。
• 迷惑メールを開いて不明なリンクをクリックするときは細心の注意を払うようすべてのユーザーに忠告します。
• また、上記のドメイン名をブロックすることをすべてのユーザーに強く推奨します。
Intel Securityの製品はTeslaCryptの変種を「Ransom-Tescrypt!<Partial hash>」として検出します。

【参考】

ランサムウェアに関する企業向けソリューション概要
ランサムウェアから大切なデータを守る


※本ページの内容は2016年3月15日更新のMcAfee Blog の抄訳です。

原文: TeslaCrypt Ransomware Arrives via Neutrino Exploit Kit

著者: Varadharajan Krishnasamy

【関連情報】

必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.