ランサムウェア「SpriteCoin」 vs. FFRI yarai
2018年1月、「SpriteCoin」と呼ばれるランサムウェアが確認されています。 現在、相場の急激な高騰などで注目を集めている仮想通貨に関連した攻撃が増加しています。・偽の仮想通貨「SpriteCoin」で忍び寄るランサムウェア - 収益性高いと吹聴
・偽の暗号通貨「SpriteCoin」で誘惑、ランサムウェア配布
目次
1.ランサムウェア「SpriteCoin」のマルウェア概要
1-1.ランサムウェア「SpriteCoin」を実行させると
2.ランサムウェアの被害にあわないために
3.FFRI yaraiによるランサムウェア「SpriteCoin」の防御
【マルウェア概要】
今回FFRIでは「SpriteCoin」を入手し、その脅威について検証しました。
このマルウェアはWebサイトから実在しない仮想通貨「SpriteCoin」のウォレットを配布していますが、実際に配布されるのはランサムウェアであり、実行するとPC内のファイルが暗号化されてしまいます。
URLにアクセスすると「SpriteCoin」のWebページが表示されます。Webページでは仮想通貨「Monero」などで採用されている「CryptoNight」と呼ばれるアルゴリズムを使用しており、非常に有益なコインであることを紹介していますが、「SpriteCoin」という仮想通貨は実在しておらず、ページ内のリンクをクリックしてランサムウェアをダウンロードさせようとします。
リンクをクリックするとランサムウェアがダウンロードされます
ダウンロードされたZipファイルを解凍すると4つのファイルが入っています。
・spritecoind.exe
・spritecoinwallet.exe
・boost.dll
・cryptonight.dll
その中の「spritecoinwallet.exe」ファイルを実行すると、「SpriteCoin」ウォレットのパスワードを入力する画面が表示されます。
ウォレットのパスワードの入力を要求する画面
パスワードを入力して「Next Step」ボタンをクリックすると、パスワードに関する注意が表示されます。
「Continue」ボタンをクリックすると、ダウンロード中の画面が表示されますが、実際はバックグラウンドでランサムウェアが感染し、実行されます。
バックグラウンドでは%APPDATA%フォルダ配下に生成されたランサムウェア「MoneroPayAgent.exe」が実行されます。
ファイル生成に加えてレジストリへの書き込みも行われており、OS起動時に「MoneroPayAgent.exe」が実行されるように設定されています。
ランサムウェアが実行されるとPC内のファイルが暗号化され、拡張子が「.encrypted」に変更されます。変更された拡張子を元に戻しても、ファイルは暗号化されているため開くことができなくなっています。
その後脅迫メッセージが表示され、ファイルを復元するための身代金を要求します。身代金は仮想通貨「Monero」で支払うように要求しています。
【ランサムウェアの被害にあわないために】
ランサムウェアの被害にあった場合、PCのデータが暗号化されて重要な情報を失う可能性があります。
ランサムウェアの攻撃から身を守るために、データを復元できるようにPCのバックアップを作成しておくこと、信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと、一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。
FFRI yarai は生成されたランサムウェアの実行を検知・防御します。
【FFRI yaraiによる防御】
FFRI yaraiは2017年5月にリリースしたエンジンで検知・防御していることを確認しました。
「SpriteCoin」についてHIPS検知(動的解析)で検知・防御します。
FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した5つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。 詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。
■検証環境
Windows 7 ✕ FFRI yarai 2.9.0(2017 年 5月リリース)
VirusTotal(注) によると、初回登録時の検出率は以下となっています。 ランサムウェア「SpriteCoin」について、2018-01-07 00:36:17 UTC時点の検出率は8 / 68
■検証した検体のハッシュ値(SHA-256)
・ababb37a65af7c8bde0167df101812ca96275c8bc367ee194c61ef3715228ddc
ランサムウェア「SpriteCoin」による攻撃はすでに確認されており、被害にあわないためにも早急な対策が必要と言えます。
FFRIでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。
(注)ファイルやURLを分析しマルウェア検査を行うオンラインスキャンサービス
関連記事
ランサムウェア「Spider」 vs. FFRI yarai
ランサムウェア「Bad Rabbit」vs. FFRI yarai
【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2018年 ≫ 2018年2月 ≫ ランサムウェア「SpriteCoin」 vs. FFRI yarai