ランサムウェア「SpriteCoin」 vs. FFRI yarai

2018年1月、「SpriteCoin」と呼ばれるランサムウェアが確認されています。 現在、相場の急激な高騰などで注目を集めている仮想通貨に関連した攻撃が増加しています。

偽の仮想通貨「SpriteCoin」で忍び寄るランサムウェア - 収益性高いと吹聴


偽の暗号通貨「SpriteCoin」で誘惑、ランサムウェア配布







【マルウェア概要】

今回FFRIでは「SpriteCoin」を入手し、その脅威について検証しました。
このマルウェアはWebサイトから実在しない仮想通貨「SpriteCoin」のウォレットを配布していますが、実際に配布されるのはランサムウェアであり、実行するとPC内のファイルが暗号化されてしまいます。





URLにアクセスすると「SpriteCoin」のWebページが表示されます。Webページでは仮想通貨「Monero」などで採用されている「CryptoNight」と呼ばれるアルゴリズムを使用しており、非常に有益なコインであることを紹介していますが、「SpriteCoin」という仮想通貨は実在しておらず、ページ内のリンクをクリックしてランサムウェアをダウンロードさせようとします。

SpriteCoinという仮想通貨を偽装した特徴を持つ種類のランサムウェアのサイト。リンクをクリックするとランサムウェアがダウンロードされます
リンクをクリックするとランサムウェアがダウンロードされます


ダウンロードされたZipファイルを解凍すると4つのファイルが入っています。

・spritecoind.exe
・spritecoinwallet.exe
・boost.dll
・cryptonight.dll

その中の「spritecoinwallet.exe」ファイルを実行すると、「SpriteCoin」ウォレットのパスワードを入力する画面が表示されます。


「spritecoinwallet.exe」ファイルを実行し、ウォレットのパスワードの入力を要求する画面。

ウォレットのパスワードの入力を要求する画面


パスワードを入力して「Next Step」ボタンをクリックすると、パスワードに関する注意が表示されます。


「Continue」ボタン


「Continue」ボタンをクリックすると、ダウンロード中の画面が表示されますが、実際はバックグラウンドでランサムウェアが感染し、実行されます。


「Continue」ボタンを押した後の画面


バックグラウンドでは%APPDATA%フォルダ配下に生成されたランサムウェア「MoneroPayAgent.exe」が実行されます。


ファイル生成に加えてレジストリへの書き込みも行われ感染、OS起動時に「MoneroPayAgent.exe」が実行されるように設定されています。


ファイル生成に加えてレジストリへの書き込みも行われており、OS起動時に「MoneroPayAgent.exe」が実行されるように設定されています。


感染したバックグラウンドでは%APPDATA%フォルダ配下に生成されたランサムウェア「MoneroPayAgent.exe」が実行


ランサムウェアが実行されるとPC内のファイルが暗号化され、拡張子が「.encrypted」に変更されます。変更された拡張子を元に戻しても、ファイルは暗号化されているため開くことができなくなっています。


脅迫メッセージの一覧


その後脅迫メッセージが表示され、ファイルを復元するための身代金を要求します。身代金は仮想通貨「Monero」で支払うように要求しています。





【ランサムウェアの被害にあわないために】

ランサムウェアの被害にあった場合、PCのデータが暗号化されて重要な情報を失う可能性があります。
ランサムウェアの攻撃から身を守るために、データを復元できるようにPCのバックアップを作成しておくこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。


FFRI yarai は生成されたランサムウェアの実行を検知・防御します。





【FFRI yaraiによる防御】

FFRI yaraiは2017年5月にリリースしたエンジンで検知・防御していることを確認しました。
「SpriteCoin」についてHIPS検知(動的解析)で検知・防御します。

FFRI yaraiがランサムウェア「SpriteCoin」を感知し、ランサムウェア検知・防御の対策をしました。

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。

CODE:Fの核となる5つのエンジンによる多層防御とは


■検証環境
Windows 7 ✕ FFRI yarai 2.9.0(2017 年 5月リリース)

VirusTotal(注) によると、初回登録時の検出率は以下となっています。 ランサムウェア「SpriteCoin」について、2018-01-07 00:36:17 UTC時点の検出率は8 / 68


■検証した検体のハッシュ値(SHA-256)

・ababb37a65af7c8bde0167df101812ca96275c8bc367ee194c61ef3715228ddc


ランサムウェア「SpriteCoin」による攻撃はすでに確認されており、被害にあわないためにも早急な対策が必要と言えます。
FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。


(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス

関連記事

ランサムウェア「Rapid」 vs. FFRI yarai

「楽天カード株式会社」を装った不審なメールに関する注意喚起

ランサムウェア「Spider」 vs. FFRI yarai

ランサムウェア「Bad Rabbit」vs. FFRI yarai

FFRI yaraiがファイルレスマルウェアを検知

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

FFRI yarai防御実績

FFRI yarai導入事例

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

HOME  ≫ FFRIセキュリティ BLOG  ≫ 2018年  ≫ 2018年2月  ≫ ランサムウェア「SpriteCoin」 vs. FFRI yarai

pagetop