GandCrab V3、新たな「壁紙変更」機能で偶然にもシステムをロック

以前の記事で説明したように、GandCrabは配信される量が増えているため、今年最も話題のランサムウェアファミリーの1つとなっています。2018年4月末、FortiGuard Labsは、最新バージョンであるGandCrab v3を配信する同じキャンペーンから、新たなスパム活動を発見しました。

この新バージョンは、LockyやSageといったこれまでの悪名高いランサムウェアファミリーの先例に倣い、被害者の壁紙も変えてしまうバージョンです。しかし、この新機能を分析した際、その目的に支障が出る可能性があると同時に、不運な被害者にとってさらに迷惑な事態をもたらすバグを発見しました。


新たなスパムウェーブでも、手法は同じ

攻撃チェーンは、以前の記事で説明したものと実質的には同じです。ただ今回のバージョンは、Java Scriptではなく、Visual Basic Scriptをダウンローダーとして使用します。

Fig.1 KTIS' visualization of spam mails with attached VBS scripts downloading GandCrab v3

図1. GandCrab v3をダウンロードするVBS scriptが添付されたスパムメールをKTISで視覚化

Eメールの中身も同じです。次の図はFortiMailがキャッチした、このマルウェアの最新バージョンを配信するスパムメールのサンプルです。

Fig.2 Sample email from this spam wave caught by FortiMail

図2. FortiMailがキャッチした、このスパム活動のEメールサンプル


壁紙の変更から予想外の画面ロックへ

先ほども述べましたが、現在のGandCrabは被害者のデスクトップの壁紙を変えて、ランサムノートを表示させます。これは他のランサムウェアファミリーが長年使用してきた戦術です。奇妙な拡張子のついたファイル名やおかしなファイル、さらにはすべてのディレクトリに入っている実際のランサムノートを見るだけでは、デバイスの感染を示すのに十分ではないとでもいうのでしょうか。さらに良くないことに、このバージョンをWindows 7でテストしてみたところ、新機能にバグが見つかりました。

このマルウェアは被害者のファイルを暗号化した後、強制的にシステムをリブートさせます。Windows 10とWindows 8.1のシステムで行ったテストでは、マルウェアは壁紙を変えることに成功し、システムは予想通り、正常に起動しました。

Fig.3 Windows 10 infected with GandCrab v3 after reboot

図3. GandCrab v3に感染したWindows 10のリブート後

しかし、なぜかWindows 7ではブートが完了せず、Windows Shellが完全にロードされる手前のポイントで動かなくなります。つまり、感染したユーザーはWindowsインターフェイスを操作できないため、マシン自体が一見使えない状態になってしまいます。画面をロックする昔のランサムウェアの動作に似ていますね。ユーザーが見ることができるのは、ランサムノートを表示した壁紙と、TORブラウザのダウンロードサイトのみです。

これは意図的ではありません。なぜなら、ランサムノートの指示には、システム内にばらまかれた「CRAB-DECRYPT.txt」のランサムノートにさらなる指示が書かれているので、そのどれか1つを読むようにと書かれているからです。平均的なユーザーの場合、そのためには少なくともWindowsインターフェイスが必要になるはずです。

Fig.4 GandCrab ransom note text

図4. GandCrabのランサムノートのテキスト

リブートを強制的に進めるには、キーボードを使ってタスクマネージャーを実行(CTRL+SHIFT+DEL)し、マルウェアプロセスを終了させる方法があります。しかし平均的なユーザーの場合、実行されているプロセスの一覧から実際のマルウェアを見つけ出すことは難しいでしょう。さらにこのマルウェアには、autorunのメカニズムが入っています。つまり、リブート時に再度実行されることになります。その後のリブートで「画面ロック」を阻止するためには、ユーザーがプロセスを停止させた後、APPDATA%\Microsoft\<random chars>.exe(gvdsvp.exeなど)にあるマルウェアの実行ファイルを削除しなければなりません。autorunレジストリも削除すると良いでしょう。

SubKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

Name: <random chars> (e.g. solmnyduktr)

Value: %APPDATA%\Microsoft\<random chars>.exe (e.g. gvdsvp.exe)// Placeholder

Fig.5 Infected Windows 7 screen after reboot

図5. 感染したWindows 7のリブート後の画面


結論

ランサムウェアノートを見て、すべてのファイルがなくなったことを悟った際は、多くの意味で苛立つことでしょう。マシンへのアクセスもできないとなると、(苛立ちの頂点であっても)さらに苛立ちが募ります。意図しない結果をもたらすマルウェアの欠陥は、実はよくあることです。そのため、勝手に送られてくるメールに関して特に注意することが非常に大切です。原則として、予期せず届いたメールで添付ファイル(実行ファイルや文書)が付いている場合には、開封前にまずスキャンを行い、検証する必要があります。そして、重要なファイルに関しては、必ず隔離した場所にバックアップを作成してください。

GandCrabの新機能は、全体としてあまりうまく機能していません。しかし、これを作り出したアクターたちが積極的に開発に取り組んでいるということは、犯罪活動への意欲が高いことの証明です。だからこそ、このマルウェアキャンペーンはさらに危険なのです。

-= FortiGuard Lion Team =-


ソリューション

フォーティネットユーザーは、以下のソリューションで保護されています。


IOC

GandCrab V3

4fb5ea4fd30838756fa643c399c3d82e952f60e25de4127c4d0b9849dc617d1e (GandCrab v3) - W32/GandCrab.KAD!tr.ransom

Eメール

1f33e2efd415c0fbb428ab65da8649b985e7475191e316e24ec6abfa4da955e6
08c0dcecb2f3d9c4567a0af6c9949d048631603e460a83aaa627756c1100b2d3
78293681ec1a9d591f9f0b43245ecb2d407ae85da364f91dab917057bd3b33f4

VBSダウンローダー

59e1a31e8ee30f00baf230d25e6b655d3779fbbcba1b2c109864520e51156960 - VBS/GandCrab.KAD!dldr

7be804f1918cb6f6519642270f81ccd8558021931832438313891081cdd3eb78 - VBS/GandCrab.KAD!dldr

389e1b29a38a1a2f65d36a7c8308eb7dc321fa2431652a5993a13ef6a6992578 - VBS/GandCrab.KAD!dldr

追加されるレジストリ

SubKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
Name: <random chars> (e.g. solmnyduktr)
Value: %APPDATA%\Microsoft\<random chars>.exe (e.g. gvdsvp.exe)

ネットワーク

http[:]//185.189.58.222/bamm.exe (download URL)
carder.bit (C2)
ns1.wowservers.ru (DNS Server)