AstraLockerの復号化ツール出ました
AstraLockerはランサムウェアです。
どういう経緯かは不明ですが、AstraLockerはランサムウェアの運用を終了することを宣言しました。
そしてAstraLockerの開発者は復号化機能の詰め合わせをVirusTotalにアップロードしました。
開発者はもうランサムウェアは使わないと言っているようですので新たな被害者は増えないのかもしれません。
開発者の興味はマイニングに向かっているようです。
不正に侵入した後不正活動のための環境を整えて悪事を働く、という手順を考える場合、ランサムウェアもマイニングも同じ手口が可能とも考えられます。
AstraLockerの手口を見てみましょう。
- ベースとなったもの
ソースコードが公開されたマルウェアであるBabukランサムウェアがベースになっています。 - バージョン
2021年に最初のバージョンが出て、2022年3月に2.0がリリースされました。 - 侵入方法
メールで添付ファイルを送付する方法で始まります。
添付ファイルの形式はMicrosoft Wordドキュメントです。 - OLEオブジェクト
最近のよくあるマルウェアの実装形式は添付ファイルにVBAマクロを含めるものです。
VBAを含める形式は何段階にもわたって侵入操作を繰り返すことで気づかれないようにすることに注意が向いている手法です。
しかしAstraLockerの手法は異なります。
添付ファイルに直接OLEオブジェクトを張り付け、Word文書を開くと「この文書に添付されたソフトウェアを実行しますか?」というセキュリティ警告ダイアログが表示される状態で配布されています。
いまどきこんな警告ダイアログで実行ボタンをクリックする人がどのくらいいるのか疑問ですが、もしこれをクリックすると即座に感染し悪事の活動が開始されます。 - 安全化機構1
マルウェア機構はSafeEngine Shielden v2.4.0.0プロテクターを使用してパックされています。
このパッカーは非常に古いものであるため、通常利用されるリバースエンジニアリング手法では解析できません。 - 安全化機構2
ホストが仮想マシン(VM)であるかどうかの確認を実施します。
VMではマルウェアは動作しません。 - 安全化機構3
実行中のプロセスをチェックして、環境が分析サンドボックスであるかどうかを判断します。 - 安全化機構4
開いているウィンドウの名前をチェックして、マルウェア分析ツールが実行されているかどうかを確認します - 安全化機構5
引数HideFromDebuggerを使用して、デバッグツールからスレッドを非表示にする - 安全化機構6
複数のバックアップおよびマルウェア対策サービスの停止 - 安全化機構7
暗号化を妨げる可能性のある複数のプロセスを強制終了する - データ復元の阻止機構1
ボリュームシャドウコピーの削除 - データ復元の阻止機構2
ごみ箱を空にする - 広い範囲を暗号化
すべてのドライブとネットワーク共有を列挙してマウントする - 速やかに暗号化
最速の楕円曲線暗号(ECC)曲線の1つであるCurve25519を使用したファイルの暗号化
よく練られた内容に思えます。
このような安全化機構をそのままマイナーに実装されるとかなり面倒なものに仕上がりそうです。
感染してしまってから何か対策をするような方法は実質上非常に困難だと考えられます。
そもそも感染しないようにすることに意識を向ける必要がありそうです。
参考記事(外部リンク):AstraLocker ransomware shuts down and releases decryptors
www.bleepingcomputer.com/news/security/astralocker-ransomware-shuts-down-and-releases-decryptors/
