NSAの研究局によって開発されたソフトウェアリバースエンジニアリング(SRE)スイートツールを使ってPhobosランサムウェアの実行ファイルであるph_exec.exeファイルを解析してみます。
Ghidraにph_exec.exeを読み込ませると次のように概要が表示されました。
Ghidraは非常によく出来たソフトウェアリバースエンジニアリングツールです。解析後に以下のようにLabelでの追跡ができます。
右上のペインを見ると「Library:Visual Studio 2010 Release」と表示されてるように、犯罪者はVisual Studio 2010を使用してPhobosランサムウェアの開発をしている事がわかります。追っていくと、次のようなライブラリも使っている事がわかります。
「Library:Visual Studio 2008 Release」と表示されています。色々とみていくと2010のライブラリの使用が多い事がわかりました。2008からのVisual Studioを使っていたのだという事です。
解析には時間がかかりますので、今日はとりあえず入り口の説明をいたしました。
当社では暗号化されたデータを戻す解決方法を2通り持っています。
犯罪者と交渉をしないでデータを取り戻す手法も開発しています。感染後すぐに依頼されれば、高い取得率があります。時間の経過とともに取得率は下がります。
取得率が100%近い復号サービスもあります。
無料相談(10分程度)もしていますので、すぐに行う措置を説明しています。
被害に遭われた方々のお力になれると思います。
身代金要求画像が表示されたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。
暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。