WannaCryランサムウェア: ベータ版から2.0への進化の過程

WannaCryマルウェアは、先頃世界中で多くの企業組織やシステムに被害をもたらした大規模な感染の発生源で、FortiGuard Labsはこのマルウェアの監視を注意深く続けてきました。フォーティネットは、今回の攻撃の分析結果とともに、攻撃から企業や組織を守るための対策をこちらのページですでに公開しています。今回のブログでは、このマルウェアのベータ版から最新のバージョン2.0までの各バージョンに関して、注目すべき特性をいくつか簡単に解説するほか、興味深い発見について紹介します。

ベータ版:

Beta Version - Your files have been safely encrypted!

フォーティネットがこのベータ版を発見したのは、2017年2月9日頃でした。作成者の基本的なアイディアは、AES-128を使用してSMB共有フォルダ内のファイルを含めた「重要な」ファイルを暗号化するというものでした。ファイルの暗号化ルーチンは、暗号化されたファイルの形式を除いて大きな違いはありません。また、増殖する機能も備えていませんでした。

  • ビットコインウォレットのアドレス:
    1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
  • TOR:
    rphjmypwmfvx6v2e.onion

暗号化されたファイルのフォーマットは以下のとおりです。

  • DWORD - 0x8F701CD3、マジックヘッダー
  • DWORD - key_Length
  • BYTE[key_length] - RSAで暗号化されたAESキー
  • QWORD - encrypted_data_length
  • BYTE[encrypted_data_length] - 暗号化されたデータ

WannaCry 1.0

WannaCry 1.0 - Ooops, your files have been encrypted!

フォーティネットは、2017年3月28日頃にこのバージョンを発見しています。このバージョンでは、ベータ版からいくつかの変更点がみられます。その一部を紹介します。

リソースがパスワードで保護され圧縮されていて、単一のペイロード(暗号化されています)として暗号化ルーチンをタスク化します。暗号化されたファイルのフォーマットが更新されているほか、ハードコードされた辞書を使ってSMB共有フォルダへのアクセスを試みます。TORダウンロード用リンクが構成ファイル内に記述されており、ハードコードされたRSAキーも変更されています。

  • ビットコインウォレットのアドレス:
    1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
    15zGqZCTcys6eCjDkE3DypCjXi6QWRV6V1
  • TOR:
    sqjolphimrr7jqw6.onion

WannaCry 2.0

WannaCry 2.0 - Ooops, your files have been encrypted!

このバージョンでの最も重要な変化は、増殖する機能が追加されたことでした。

  • ビットコインウォレットのアドレス:
    115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
    12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
    13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • TOR:
    gx7ekbenv2riucmf.onion
    57g7spgrzlojinas.onion
    xxlvbrloxvriy2c5.onion
    76jdd2ir2embyv47.onion
    cwwnhwhlz52maqm7.onion

今回の調査において、作成者が構成ファイル「c.wry」内にこのマルウェアとは無関係の情報を隠そうとしていた事実を発見しました。

それでは、「c.wry」を遡ってみていきましょう。

c.wry dump 1

c.wry dump 2

c.wry dump 3

c.wry dump 4

掲載したスクリーンショットでハイライトされた行は、作成者がホストに関連する情報のデータを削除しようとしていることを示しています。そして、恐らくこれによってこの構成ファイルが生成されると考えられます。さらに、最後のスクリーンショットではデータ「KDMS/bitu.skaria」がみえます。KDMSは、良く知られたハッカーグループの名称です。作成者の名前は、「Bitu Skaria」なのでしょうか? フォーティネットは今後も調査を続け、最新情報を随時お伝えします。

Fortinet advanced threat protection demo