マルウェアの解析スキルを磨くため、最近の適当なランサムウェアがないかを探していたところ、VirusTotalで奇妙なマルウェアを発見。
コメントを見ると暗号化したファイルの拡張子を「.下物妹!」に変更する、との(面白い)情報がありましたので早速入手して中身を見てみました。
まずはマルウェアの表層部分を見てみると、中身は実行ファイルで、バージョンやPDBを見るとバッチリと「Ransom」との記載が見られます。
続いて今回のランサムウェアを実行して見たところ、以下のような画面が表示され、実際にファイルの暗号化が行われます。*1
(VirusTotalのコメントとは少し違い、暗号化されたファイルの拡張子は「.干◯妹!」でした)
内部のコードを確認して見たところ、暗号化にはDESを使っており、暗号化に使うキーはマルウェア内にハードコードされていることからも簡単に復号化可能です。
また、そもそもとしてマルウェアを実行する際に「-recover」のオプションを付けて実行すると、
私はすでに5文書を復号化しました。
と言いつつ全てのファイルを復号化してくれます・・。
結果として、今回のマルウェアはただのお遊び目的だと思われますが、日本語が変なことからも、外国人が日本向けに作っていると思うと少し興味深いかもしれません。