最近日本国内で“ONI”と呼ばれるランサムウェアに感染したという被害報告がいくつか確認されています。このランサムウェアは感染をするとファイルを暗号化し.oniという拡張子をファイル名に付与して、復号するためには金銭を支払うように要求してきます。日本語でのインストラクションファイルを残していくことから、おもに日本のユーザーを標的にしたランサムウェアであると考えられます。
“ONI”ランサムウェアの正体
弊社のリサーチチームの調査の結果、このONIランサムウェアはGlobeImposterと呼ばれるランサムウェアファミリーの亜種とみられることが分かっています。GlobeImposterは元々Globeと呼ばれるマルウェアを起源としており、弊社の調べでは少なくとも2017年xx月頃には存在が確認されています。感染して暗号化を行い、ファイル名に.cyptや.pscryptといった拡張子を付けてHTMLファイルベースの脅迫文を表示します。初期に確認されたGlobeImposterのサンプルは、コード上の問題が発見され復号ソフトが一部のベンダより提供されていますが、その後もさまざまな亜種が登場しておりすべてに対応できるかは確認されていません。今回の.oniという拡張子を使うランサムウェアもこのGlobeImposterのコードを元にした亜種の1つと考えられます。
感染動作
今回確認されたGlobeImposterの亜種に感染すると以下の動作を行うことが確認されています。
1. 以下のtmpファイルが存在しているか確認し、存在していた場合には動作を停止
tmpファイルが存在していない場合にはファイルを作成します。この動作は重複インストールを避けるためのものと考えられます。
2. システム上の各ディレクトリにおいて、ファイルをRSA-2048/AES-256で暗号化し、暗号化されたファイル名には”.oni”の拡張子を付与 但し、以下のフォルダは暗号化対象から除外されます。
- windows
- Microsoft
- Microsoft Help
- Windows App Certification Kit
- Windows Defender
- ESET
- COMODO
- Windows NT
- Windows Kits
- Windows Mail
- Windows Media Player
- Windows Multimedia Platform
- Windows Phone Kits
- Windows Phone Silverlight Kits
- Windows Photo Viewer
- Windows Portable Devices
- Windows Sidebar
- WindowsPowerShell
- Temp
- NVIDIA Corporation
- Microsoft.NET
- Internet Explorer
- Kaspersky Lab
- McAfee
- Avira
- spytech software
- sysconfig
- Avast
- Dr.Web
- Symantec
- Symantec_Client_Security
- system volume information
- AVG
- Microsoft Shared
- Common Files
- Outlook Express
- Movie Maker
- Chrome
- Mozilla Firefox
- Opera
- YandexBrowser
- ntldr
- wsus
- Wsus
3. 同じフォルダに!!README!!.htmlというHTMLファイルを作成
感染経路
いまのところこのマルウェアの感染経路ははっきりしていません。しかしながら該当のマルウェアペイロード自体にはWannaCryのような自己拡散するワーム機能が確認されていないことから、Webまたはメールのような経路から他のエクスプロイトやマルウェアなどを介して感染したものと考えられます。しかしながら、GlobeImposterについては、WannaCryやEternalRocks、Petya-Likeなどでも悪用されたことで有名になったShadow Brokersのエクスプロイトツールが公開された直後に使われた高度なシステム侵入の一環で使用されたケースもあるので、そのようなAPT攻撃グループとの関連性も疑われます。もし被害が出た場合には、単なるランサムウェア被害としての対応だけではなく、他のシステムへの侵入や感染の痕跡がないかも含めて調査されることをお勧めします。
CylancePROTECTによる予測防御
AIを活用してデータモデルによる予測防御を行うアンチウィルス製品CylancePROTECT®をご利用のお客様はこの攻撃からすでに保護されています。弊社ではこれまで確認されたGlobeImposterのマルウェア検体を入手して検知・ブロックできることを確認しています。 CylancePROTECTをご利用でない場合は、当社のAIを活用したソリューションが未知の脅威や新たな脅威をどのように予測し防御するかについてお問い合わせください。
侵入の痕跡(IoC情報)
9BBA34947B9B2F9D52AEB45B342637CE93D6683BBF8E352DA53DAE053DA37AE6(ランサムウェア)