新たなランサムウエアRyukより高度な「Anatova」が発見された

マカフィーによると

「新たな脅威の出現を継続して監視している中で、我々は身代金要求の署名に基づきAnatovaと名付けられ「たランサムウェアファミリーを発見。
Anatovaはプライベートのピアツーピア(P2P)ネットワークで見つかった。」

と公式ブログで公表(1月25日)している。

(各国で検出されたAnatova:McAfee公式ブログより)

 

今年(2019年)新年早々からばら撒かれたランサムウエア(身代金型ウイルスソフト)Anatovaは、既に(1月22日)300件以上の感染が確認されている。

概略は以下の通りである。

Anatovaのコードはモジュール拡張に対応しているため、深刻な脅威になる可能性があり、さらにネットワーク共有の接続をチェックし、これらの共有上のファイルも暗号化(ロック)してしまいます。
Anatovaの最終的な目的は、感染したローカルとネットワーク共有されたすべてのファイルを暗号化した上で、被害者に身代金を支払うよう要求するマルウエア(コンピュータウイルス)です。他のランサムウェアと同様、感染したシステム上のファイルを暗号化し、それを復号化(ロックを解除)するために支払いを要求します。

ハッカーらは10DASHの仮想通貨の身代金の支払いを要求します。これは時価(1月22日頃)にして約700 usドル相当です。DASHを要求するのはやはり匿名性の高い通貨というところでしょうか。

 

主な特徴

  • 既存のゲームやアプリケーションのアイコンを使い、一般ユーザーを安心させダウンロードさせようとします。
  • 管理者権限を要求するマニュフェストを持っています。
  • 2019年1月1日にコンパイルされ64bitアプリケーションです。
  • ファイルサイズは32Kでとてもコンパクトに作られています。

文字列の大半は暗号化されており(UnicodeとAscii)、実行可能なファイルに埋め込まれ異なるキーを使用して復号化されます。

呼び出しの90%は動的で、不審ではないWindows APIとCプログラミング言語の標準ライブラリを使用しています。

その為、直ぐには怪しいファイルとは思わせない仕様になっているのでウイルス検知ソフトにも発見されにくくなっています。

 

このランサムウエアの面白いのはシステムの「ユーザーネーム」と「言語」を調べます。該当するユーザーネームまたは国の場合はクリーニングモードに入り作業を中断します。つまり感染しないということです。
なぜこの組み合わせが外されているのか詳しくは分かっていませんが、「CIS 諸国」以外の言語に感染しない仕様のウイルスは珍しいようです。

該当するユーザー名は、

  • LaVirulera
  • tester
  • Tester
  • analyst
  • Analyst
  • lab
  • Lab
  • Malware
  • malware

国名は、

  • CIS 諸国
  • Syria
  • Egypt
  • Morocco
  • Iraq
  • India

です。

 

このようにAnatovaは、解析されにくい強靭な技術を備えています。

昨年多くの感染があったRyukより高度なプログラミングで見つかりにくい特性を持っています。

今回の発見ではWindowsアプリなので他のOSでは感染しませんが、高度な技術を持っているためMacOSやLinuxも作られているかもしれません。

十分ご注意下さい。

とにかく怪しいまたは不要なファイルはダウンロードしないことです。

【関連記事】

ランサムウェアはロシア製だった!?