「干○妹!身代金ウイルス」の解析

マルウェアの解析スキルを磨くため、最近の適当なランサムウェアがないかを探していたところ、VirusTotalで奇妙なマルウェアを発見。

f:id:b1nary:20180222002510p:plain

コメントを見ると暗号化したファイルの拡張子を「.下物妹!」に変更する、との(面白い)情報がありましたので早速入手して中身を見てみました。 

まずはマルウェアの表層部分を見てみると、中身は実行ファイルで、バージョンやPDBを見るとバッチリと「Ransom」との記載が見られます。

f:id:b1nary:20180222004213p:plain

続いて今回のランサムウェアを実行して見たところ、以下のような画面が表示され、実際にファイルの暗号化が行われます。*1

VirusTotalのコメントとは少し違い、暗号化されたファイルの拡張子は「.干◯妹!」でした)

f:id:b1nary:20180222005633p:plain

内部のコードを確認して見たところ、暗号化にはDESを使っており、暗号化に使うキーはマルウェア内にハードコードされていることからも簡単に復号化可能です。

また、そもそもとしてマルウェアを実行する際に「-recover」のオプションを付けて実行すると、

私はすでに5文書を復号化しました。

と言いつつ全てのファイルを復号化してくれます・・。

f:id:b1nary:20180222011642p:plain

結果として、今回のマルウェアはただのお遊び目的だと思われますが、日本語が変なことからも、外国人が日本向けに作っていると思うと少し興味深いかもしれません。

*1:暗号化対象となる拡張子は以下と思われます

".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".txt", ".jpg", ".png", ".gif", ".dng", ".mp3", ".mp4", ".rmvb", ".flac", ".ape", ".avi", ".mkv", ".mpg", ".jpeg", ".pdf"