行く面積
メーンメニュー 行く
本文 行く

ブログ BLOG

AppCheck 【Themida パッカーを使用するLegionLocker v3.0 ランサムウェア】
2021-07-20
7729

今回ご覧いただくLegionLockerランサムウェア(Ransomware)は、VirusTotalアップロード基準で2021年4月に
2.0バージョンが登録、2021年5月に3.0バージョンが追加され、少しずつ変化を与えています。

特にThemidaパッカーで制作され、基本的な分析ツールが実行中の場合は実行されないのが特徴の一つです。

 

 

            LegionLocker ランサムウェア (v2.0) 感染環境

 

Legion Locker ランサムウェア(v2.0)の場合、.Legionファイル拡張名で暗号化する機能以外にも、次のような
システム起動関連ファイルを削除して、Windows再起動システムにアクセスできない問題が発生しています。

 

 

 

しかし、Legion Locker ランサムウェア(v3.0)の変種の場合、起動関連ファイルに触れないため、このような問題は
発生しませんが、ファイル暗号化が行われる場合、多数のファイルとバックアップファイルの削除、システム復旧が
できないように復元点を削除処理することができます。

実行されたLegion Locker ランサムウェア(v3.0)は、実行中に、レジストリエディタ(regedit)、
命令プロンプト(cmd.exe)、作業管理者(Taskmgr)などを実行できないように遮断し、
ウェブブラウザ(chrome、firefox、iexplore、opera) が実行中の場合にも終了処理を行います。

 

その他にも、photorec_win.exe、qphotorec_win.exe、rannohdecryptor.exe、recuva.exe、sdclt.exe
プロセス終了と「C:\Users\%UserName%\AppData\Local\Temp\WTHBNZD.bat」バッチファイル実行により、
システム復元の無力化やバックアップファイルの削除を行います。

 

 

暗号化対象ファイルは事前に登録しており、OSがインストールされているCドライブ領域のみを対象としています。

 

 

暗号化されたファイルはv2.0バージョン(.Legion)とは異なり、LGNLCKDファイル拡張名に変更して、

各フォルダごとにLegionRead Me.txt決済案内ファイルを作成します。

 

 

Legion Locker ランサムウェアは、ファイルのプロパティとメッセージ情報にもCobra_Locker の名前を使用しており、

既に知られているCobra Locker ランサムウェアが使用しているメールアドレス(Cobra_Locker [@]protonmail.com)とは多少異なります。

 

 

AppCheckは、LegionLockerランサムウェアのバージョン別、変種によってファイル暗号化が進められる場合、
遮断および遮断前に一部毀損されたファイルに対する自動復元をサポートしています。

今回のLegionLockerランサムウェア系のようにバージョン管理を通して変化する姿を示し、

Themidaパッカーを使用して分析を基本的に妨害することがあるので、

PCセキュリティのため一般のアンチウイルス製品とAppCheckを一緒に使用し、より多様なランサムウェアの脅威からデータを保護してみてはいかがでしょうか。

 

 

次の投稿 前の投稿 リスト