【図表】
出典: http://www.barracuda.co.jp/column/detail/767
【概要】
■Sageの特徴
- CryLockerの亜種
- 2016年末に発見される
- 非対象暗号化によってファイルを暗号化()
- 暗号化したファイルの拡張子は「.sage」
- 身代金は150ビットコイン
- 指定された期限内に支払わない場合、身代金は2倍
- Sageの解析方法
- 偽装メール
- 偽フリーウェア
- P2P
■Sage2.0の特徴
- SundownとRIGを使用
- 件名や本文のないスパムメールが使用
- zipファイルが添付(別のzipファイルが含まれる)
- UAC
- ChaCha暗号で暗号化
- ユーザがWindowsにログインするたびに起動
- すべてのWindowsシャドーボリュームコピーを削除
- 近隣の無線ネットワークを検索して被害者の位置を特定
- 2,000ドルを要求する通知をデスクトップに表示
【ブログ】
◆Sage 2.0 ランサムウェアの感染拡大? (Barracuda, 2017/03/15)
http://www.barracuda.co.jp/column/detail/767
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆Exploit Kit (まとめ)
◆Sundown EK (まとめ)
https://malware-log.hatenablog.com/entry/Sundown_EK