【訳】
Royal Ransomwareのテクニカル分析
【概要】
- ロイヤルランサムウェアは、2022年に出現した最近の脅威であり、特に
ここ数カ月で活発化しています。
- このランサムウェアは、すべてのボリュームシャドウコピーを削除し、
特定のファイル拡張子やフォルダーを回避します。また、ローカルネット
ワークにあるネットワーク共有や、ローカルドライブも暗号化します。
- 身代金要求書に記載されている被害者を特定する"-id "と呼ばれるパラ
メータをコマンドラインで指定する必要があり、このパラメータを使用
すると、身代金要求書に記載されている被害者を特定することができます。
- ファイルはAESアルゴリズム(OpenSSL)で暗号化され、鍵およびIVは
は実行ファイルにハードコードされているRSA公開鍵を使用して暗号化
されます。このマルウェアは、ファイルの暗号化に際し、ファイル名に
基づき、完全または部分的に暗号化することができます。
- ファイルのサイズと「-ep」パラメータに基づき、ファイルを完全また
は部分的に暗号化します。暗号化されたファイルの拡張子は
の拡張子は".royal "に変更されます。
【資料】
◆A Technical Analysis of Royal Ransomware (SecurityScorecard, 2022/11/14)
[Royal Ransomwareのテクニカル分析]
https://securityscorecard.pathfactory.com/research/the-royal-ransomware
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆ランサムウェア (まとめ)
◆Royal (まとめ)
https://malware-log.hatenablog.com/entry/Royal