Merry X-Masランサムウェア感染 ファイル開けない拡張子変更ウイルス

イメージ 3

Google Chrome ブラウザを使うユーザーを狙って、もっともらしくフォントのダウンロードを誘う偽通知でユーザーを騙し、ランサムウェアを手動で実行させる巧妙すぎなウイルス感染攻撃の補足です。


配信されたマルウェアの1つが、Merry X-Mas Ransomware / Merry Christmas Ransomware と呼ばれる 身代金型ウイルス になります。 

【回収した実行ファイル ウイルススキャン例】
595d9f59c8cad55892fb71ee8f6c371b
www.virustotal.com/ja/file/9606691fd1cb19fcc8ba2736dde49f94c09172f3d9b48963133f4809558be75d/analysis/1485329026/

3504523e2b4e02bfaf9409c47174e778
www.virustotal.com/ja/file/e2c8eb9907bdeeb12f8965be73883e25eaec19c89cf1feca1d6d1094587fe9e9/analysis/1485507647/

df9cd5d0be7670dfe3a564aed41f95d4
www.virustotal.com/ja/file/f7b4b328ccd94627d7b9c249055274cc534342699e04e42ba6e8d645663db252/analysis/1485685497/

Trend Micro Ransom_Exmas
Microsoft Ransom:Win32/Exmas

手元の Windows パソコンで動作確認してみるも、(仮想環境で感染させたからか)文書や画像を暗号化する破壊処理はなぜか行われず…? <ひとまずランサムウェアをメモリダンプしてユニークな文字列を確認

イメージ 2

onion2[.]host/forum/index.php … C&Cサーバー
MERRY … 暗号化済みファイルの拡張子
MERRY_I_LOVE_YOU_BRUCE.HTA … ファイル破壊後の脅迫ファイル

ランサムウェア感染後に表示される脅迫ウィンドウは次のようになり、米国のアニメ 「フューチュラマ」 に登場するキャラクターのイラストが描かれてます。

イメージ 1
ロボットサンタ & 爆弾

【脅迫画面のメッセージ】
Merry X-Mas!
YOUR CLIENT-ID: [英数字]
YOUR FILES ARE ENCRYPTED!
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
To restore files and retrieve decryptor contact us
TELEGRAM @comodosecurity
EMAIL {comodosec@india.com / comodosec@yandex.com}
ALL FILES WILL BE DESTROYED AFTER:


無料ランサムウェア ファイル復号ツール

暗号化する処理に脆弱性があるようで、セキュリティ会社から暗号化ファイルを元に戻して復旧する無料ファイル復号ツールがリリースされてます。

Emsisoft Decrypter for MRCR - Download a free Emsisoft Decrypter for the latest file encryption ransomware ".PEGS1", ".MRCR1", ".RARE1", ".MERRY", or ".RMCM1"
https://decrypter.emsisoft.com/mrcr

Merry X-Mas Ransomware Decryption Tool - Check Point
https://blog.checkpoint.com/2017/03/14/

関連するブログ記事