TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Sage 2.0 ランサムウェアの感染拡大?

f:id:tanigawa:20180721102531j:plain
出典: http://www.barracuda.co.jp/column/detail/767


【概要】

■Sageの特徴

  • CryLockerの亜種
  • 2016年末に発見される
  • 非対象暗号化によってファイルを暗号化()
  • 暗号化したファイルの拡張子は「.sage」
    • 身代金は150ビットコイン
    • 指定された期限内に支払わない場合、身代金は2倍
  • Sageの解析方法
    • 偽装メール
    • 偽フリーウェア
    • P2P

■Sage2.0の特徴

  • SundownとRIGを使用
  • 件名や本文のないスパムメールが使用
  • zipファイルが添付(別のzipファイルが含まれる)
  • UAC
  • ChaCha暗号で暗号化
  • ユーザがWindowsにログインするたびに起動
  • すべてのWindowsシャドーボリュームコピーを削除
  • 近隣の無線ネットワークを検索して被害者の位置を特定
  • 2,000ドルを要求する通知をデスクトップに表示

【ブログ】

◆Sage 2.0 ランサムウェアの感染拡大? (Barracuda, 2017/03/15)
http://www.barracuda.co.jp/column/detail/767


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019