2022年2月24日、Avast Threat Labs はデータワイパー「HermeticWiper」に付随する新しいランサムウェアを発見しました。このマルウェアはESETの仲間がウクライナで出回っているのを発見しました。この命名規則に従い、私たちはこのワイパーに付随するランサムウェアを HermeticRansom と命名することを決定しました。CrowdstrikeのIntelligence Teamが行った分析によると、このランサムウェアは暗号スキーマに弱点があり、無料で復号化することが可能です。
お使いのデバイスが HermeticRansom に感染しており、ファイルを復号化したい場合は、ここをクリックして Avast decryptor を使用してファイルを復元する方法に進んでください。
Go!
このランサムウェアはGO言語で書かれています。実行されると、ローカルドライブやネットワーク共有を検索して、潜在的に価値のあるファイルを探し、以下の拡張子のいずれかを持つファイルを探します(順番はサンプルからの抜粋です)。
.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb |
被害者のPCの動作を維持するために、ランサムウェアはProgram FilesとWindowsフォルダのファイルの暗号化を避けています。
ランサムウェアは、暗号化するファイルを指定するごとに、32バイトの暗号鍵を作成します。ファイルはブロック単位で暗号化され、各ブロックは1048576 (0x100000) バイトです。最大で9つのブロックが暗号化されます。9437184バイト(0x900000)を超えるデータはプレーンテキストのまま残されます。各ブロックは、対称暗号方式であるAES GCMによって暗号化されます。データの暗号化後、ランサムウェアはRSA-2048で暗号化されたファイルキーを含むファイルの末尾を追加します。公開鍵は、Base64でエンコードされた文字列としてバイナリに格納されています。
暗号化されたファイル名には、特別なサフィックスが付きます。
.[vote2024forjb@protonmail.com].encryptedJB
完了すると、"read_me.html "というファイルがユーザーのDesktopフォルダーに保存されます。
ランサムウェアのバイナリには、政治的な志向を持つ文字列が興味深いほど多く含まれています。2024年のJoe Bidenの再選に言及したファイル拡張子に加え、プロジェクト名にも彼への言及があります。
実行中、ランサムウェアは、実際の暗号化を行う子プロセスを大量に作成します。
Avast decryptor を使用してファイルを復元する方法
ファイルを復号化するには、以下の手順で行ってください。
- Avast decryptor を無償でダウンロードする。
- 実行ファイルを実行するだけです。ウィザードの形で起動し、復号化処理の設定を案内してくれます。
- 最初のページで、必要であればライセンス情報を読むことができますが、本当に必要なのは "Next" をクリックすることだけです。
- 次のページで、検索および暗号化解除を行う場所のリストを選択します。デフォルトでは、すべてのローカルドライブのリストが含まれています。
- 最後のウィザードのページでは、暗号化されたファイルをバックアップするかどうかを選択することができます。これらのバックアップは復号化処理中に何か問題が発生した場合に役立つかもしれません。このオプションはデフォルトでオンになっていますが、これはお勧めします。復号化 "をクリックすると、復号化処理が開始されます。復号機の動作に任せ、終了するまで待ちます。
IOCs
SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382