テリロジー 「半公式」エンジニアブログ(仮)

株式会社テリロジー コンサルティング&ソリューション技術部

今度はPetya / GoldenEye

こんにちは、セキュリティチームの石田&山内(やまうち)です。

 

WannaCry騒動が収束しないうちに、またランサムウェア騒動が起きてますね。

 

まだ一般的な名称が確定してませんが、とりあえず当ブログはBitdefenderさんの「GoldenEye」という名称で記載します。

 

どのようなランサムウェア?

ベースになっている「Petya」はファイルではなくディスクを丸ごと暗号化するタイプのランサムウェアの亜種で、昨年から観測されています。

「GoldenEye」はWannaCryと同様に「MS17-010」を悪用して感染が拡大する様です。

 

サンドボックスに放り込んでみた

詳細は解析中ですが、とりあえず入手したサンプルをサンドボックスに放り込んで挙動を見てみました。

 

GoldenEye f:id:teriwriter:20170628133428j:plain

うーん、「Petya」みたいにMBR書き換えを観測できませんが、ディスク情報読み込んだり、暗号化API叩いたり、再起動したりと怪しい。

Petyaf:id:teriwriter:20170628133436j:plain

一方「Petya」はMBRを書き換えていることが解ります。

 

対策

感染拡大の手法自体WannaCryと同様みたいなので、パッチの適用とFWやIPSで外部からのSMBをブロックするのが一番確実です。

当社も使っていますが、モバイルPC+USBドングルでインターネット接続する場合は必ずパーソナルFWやホストISPを使いましょう。

  

検体情報

  • GoldenEye

  MD5 : 71b6a493388e7d0b40c83ce903bc6b04
  SHA1 :  34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

  • Petya

  MD5 : af2379cc4d607a45ac44d62135fb7015
  SHA1 : 39b6d40906c7f7f080e6befa93324dddadcbd9fa

 

さすがに、サンドボックスだけでは再起動後の挙動までは解らないので今日はココまで

もう少し解析してから、改めて続きを書こうかと思います。

 

それにしても、このランサムウェアはPCが2台無いと身代金が払えないですね。。。

 

それでは