追加されるWhite Rabbit

ほぼこもセキュリティニュース By Terilogy Worx

新しいランサムウェアが観測されています。
名前はWhite Rabbitです。
少々厄介な特徴を持っています。

  • そのままでは動作しないし、内部構造もわからない
    ペイロードの内部が暗号化されています。
    ペイロードはそのままでは動作できません。
    動作のためにはペイロードの起動オプションで起動のためのパスワードを渡す必要があり、その時初めてペイロードの内部構造部分が復号化されて動作します。
    この機構はEgregorが使用する手法と同じです。
  • 悪行の種類はランサムウェア
    ランサムウェアとしての機構は通常の二重恐喝となっています。
    被害者のファイルを暗号化した後、脅迫文を配置します。
    脅迫文には身代金を支払わない場合に盗難データの公開または販売を行うと脅す文言が含まれています。
  • 広範囲に暗号化
    ローカルのハードディスクのファイルだけでなく、USBなどのリムーバブルディスクのファイルも対象とします。
    ネットワークドライブのファイルも対象です。
    OSとしての動作を継続するためのファイルは対象外です。

ペイロードの内部部分が暗号化されているという特徴的な部分がありますが、それ以外の実装についてはまだ検出回避の機構は多くは実装されていない状態です。
まだこれから開発が継続されていくことが考えられます。

侵入さえできれば非常に狡猾にひっそりと悪事を開始できるように実装された脅威が毎日のように追加されてきています。
脆弱性対策をタイムリーに継続し、そもそもの侵入を許さないようにすることが重要かもしれません。

参考記事(外部リンク):New Ransomware Spotted: White Rabbit and Its Evasion
Tactics

www.trendmicro.com/en_us/research/22/a/new-ransomware-spotted-white-rabbit-and-its-evasion-tactics.html