20170520

ランサムウェア「UIWIX」など「WannaCry/Wcry」の模倣犯が連続して出現

ランサムウェア「UIWIX」など「WannaCry/Wcry」の模倣犯が連続して出現

【外部リンク】
http://blog.trendmicro.co.jp/archives/14934
表 1 は WannaCry と UIWIX の特徴的な機能をまとめたものです。

WannaCry UIWIX
攻撃経路 SMBの脆弱性(MS17-010)

TCP(445番ポート) SMBの脆弱性(MS17-010)

TCP(445番ポート)
ファイル形式 実行ファイル(EXE) ダイナミック・リンク・ライブラリ(DLL)
暗号化されたファイルの
拡張子 {元のファイル名}.WNCRY ._{固有のID}.UIWIX
自動実行と持続の仕組み レジストリ 無し
VM/サンドボックス
回避機能 無し VM/サンドボックスに関連したファイル/フォルダを
確認
ネットワーク上の活動 インターネット上で無作為にIPアドレスをスキャンし、開放された445番ポートを検索、「Tor」を利用して「.onionドメイン」*に接続 「mini-tor.dll」を利用して「.onionドメイン」*に接続
特定状況下で
例外的に活動停止 無し ロシア、カザフスタン、
ベラルーシ国内で実行された
場合活動停止
暗号化除外
ファイル/フォルダ 複数の特定フォルダ内の
ファイル 特定の2つのフォルダ内のファイル

ファイル名に特定の文字列を含んだファイル
ネットワークスキャン
および拡散 ワーム活動に類似した
拡散手法 無し
Kill switch 有り 無し
要求金額 300米ドル相当の
ビットコイン 200米ドル相当の
ビットコイン

【外部リンク】
https://www.symantec.com/security_response/writeup.jsp?docid=2017-051811-1414-99
Ransom.Uiwix
Discovered:
May 18, 2017

【外部リンク】
https://www.microsoft.com/en-us/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Ransom:Win32/Uiwix.A!rsm
Ransom: Win32/Uiwix.A!rsm

--

注目の投稿

cURL error 60: SSL certificate problem: unable to get local issuer certificate

cURL error 60: SSL certificate problem: unable to get local issuer certificate 更新失敗: ダウンロードに失敗しました。 cURL error 60: SSL certificate problem: ...

人気の投稿