BlackByteランサムウェア復号化機能のリリース
BlackByteと命名されたランサムウェアが観測されています。
最近のランサムウェアの機能の複雑さには目を見張るものがありますが、このBlackByteは少し異なるようです。
こんな点が確認されています。
- 暗号化のキーが1つしかない
今時の方式のような各セッションの一意のキーではなく、すべての攻撃で同じキーをダウンロードして実行し、AES内のファイルを暗号化します。 - キーをHTTPサーバーからダウンロードできないときはランサムウェアプログラムは単にクラッシュする
代替の処理を実施する、次の悪い活動に移る、などではなく、単にランサムウェアが異常終了します。 - 暗号化処理が継続できなくなることを回避する
ファイルの暗号化を妨げる可能性のあるプロセスはすべて終了し、SetThreadExecutionState
APIを使用して、マシンがスリープ状態になるのを防ぎます。 - ユーザによる回復を困難にする
ボリュームシャドウコピーがワイプされ、Windows復元ポイントが削除され、ネットワーク検出が有効になります。 - 横展開機能で対象のネットワークに広がる
Ryukにあるような横展開機能を有し、ネットワークに蔓延します。
稚拙な面と複雑な攻撃を実現できている面とが混然一体となっているように見えます。
暗号化のキーが1つしかないことが確認されていますので、Trustwaveはこの点に注目し、復号化ツールをGitHubで公開しました。
こういったマルウェアは更新されて変化していくことがありますのでいつまでこの復号化ツールが有効かはわかりませんが、現時点では復号化はユーザ自身でできる場合がありそうです。
このマルウェアはこの領域の入門者によるものなのでしょうか。
攻撃者側のすそ野が広がっていっているのかもしれません。
参考記事(外部リンク):BlackByte ransomware decryptor released
www.zdnet.com/article/blackbyte-ransomware-decryptor-released/
