Ransom32:どのように機能しますか?
Ransom32はJavaScriptで(部分的に)記述された新しいランサムウェアのようです。私が理解しているように、ブラウザやWebサイトにアクセスしてもユーザーに影響はありませんが、有害なJavaScriptとそれを実行する手段が含まれている.rarファイルをダウンロードすることで影響を受けます。
しかし、Ransom32は正確には何を悪用しているのでしょうか? WinRARまたはWindowsの脆弱性?それとも、間違ったユーザーの行動に依存していますか?
私が見つけることができる最高の説明:
マルウェアは、WinRARに実装されているスクリプト言語を使用して、アーカイブのコンテンツをユーザーの一時ファイルディレクトリに自動的に解凍し、アーカイブに含まれている「chrome.exe」ファイルを実行します。
[...]
Ransom32がシステムに到着して実行されると、[誰が実行するのですか? .rar自体?]、それは最初にすべてのファイルを一時ファイルフォルダーに解凍します。そこから自分自身を「%AppData%\ Chrome Browser」ディレクトリにコピーします。バンドルされた「s.exe」ファイルを使用して、ユーザーのスタートアップフォルダに「ChromeService」という名前のショートカットを作成します。これにより、毎回マルウェアが実行されるようになります。
ソース
だから私には、攻撃は次のように機能するように聞こえます:
- ユーザーが.rarファイルをダウンロードする
- ユーザーがファイルを開く(またはそれ自体が開くか?)
- .rarファイルは、どこに抽出するかを決定します
- .rarファイルは.exeファイルを実行します(またはユーザーが実行する必要がありますか?)
- 実行されたファイルは、それ自体を特定の場所にコピー/リンクするため、起動するたびに開始されます
これは正しい要約ですか?
もしそうなら、それはステップ3から5が本当に起こっているべきではないように思えます[*]。 Ransom32は、WindowsまたはWinRARの既知の脆弱性を悪用しますか?または、これは望ましい動作であり、ランサムウェアがシステムに与える影響を誤解していませんか?
[*] Windowsのセキュリティについてはあまり詳しくありませんが、.rarファイルに抽出先を決定させたり、.rarファイルに.exeを実行させたりすることはお勧めしません。ファイル。
いいえ、ソフトウェアの悪用はありません。ただのばかユーザーの典型的な悪用です。
ペイロードは、自己解凍型RARファイルで配布されます。自己解凍型RARファイルは、実際には.rarファイルがファイルに追加された実行可能なエクストラクターです。このようなファイルは、拡張子が.exeの実行可能ファイルで、抽出後に任意のコードを実行する機能があります。
手順は次のようになります。
- ユーザーが.exeファイルをダウンロードする
- ユーザーが.exeファイルを実行する(失敗!)
- .exeファイルは、ユーザーに自分自身を抽出しますGoogle Chrome非表示にするプロファイル
- .exeファイルは、抽出されたマルウェアを実行時に起動して実行するためのコードを実行します
これについては、元々何もオリジナルはありません。
この投稿は、次の記事の情報に基づいています。
まあ、実際には、Ransom32は.exeファイルではなく、.scr(これは基本的に同じものです)であり、WinRARコードを使用していませんが、私がWebで見つけた最新バージョンのNSISコードを使用しています。
面白いものを見るために、scrファイルを簡単に解凍できます。
まず、NSISスクリプトファイルは、システムに見つからない場合、.NET 4.0インストーラーを起動します。
次に、%TEMP%フォルダーの.scrファイル内にある「client.exe」ファイルを抽出して実行します。このファイルは%AppData%にフォルダーを作成します。生成されたRansom32ファイルごとに、フォルダー名(および実際にはフォルダー名と同じスタブ名)が変更されます。
スタブはサーバーに接続しますが、Torネットワークと「Meek」を使用しているため、識別できません。
私はあなたの質問に答えてくれるといいのですが、言語の間違いをすみません:)