2021年6月頃、海外で発見されたChaosランサムウェア(Ransomware)製作ツールは、v1.0~v4.0のバージョンまであります。そのうちv1.0、v2.0の場合、お金を払ってもファイルを復旧することができない形態でファイルを毀損することが確認されています。

 

参考までに、Chaosランサムウェア(v3.0~v4.0)バージョンの場合は、AES／RSA暗号化アルゴリズムを利用して一般的なランサムウェアのようにファイルを変更すると知られており、今後も継続的に改善され、実際に流布が行われる可能性があります。

 

最初に実行されたChaosランサムウェアは自分自身を「C:\Users\%UserName%\AppData\Roaming\ChaosRansom.exe」ファイルで作成して、

管理者権限で動作し、Windowsを起動するたびに、自分自身を自動的に実行する目的で「C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChaosRansom.url」のショートカットファイルを追加します。

 

 

Chaosランサムウェアは、Cドライブの場合、ダウンロード、ライブラリ、デスクトップ、お気に入り、OneDrive、検索など、特定のフォルダ内にファイルと、他のドライブおよびUSB、ネットワークドライブ領域が存在する場合、次のようなファイル拡張名を持つファイルを毀損します。

 

 

また、ファイルの復旧ができないように、次のようなコマンド処理を実行してシステム設定を変更します。

 

 

 

Chaosランサムウェアによって毀損されるそれぞれのファイルは、<4桁の英小文字／数字のRandom拡張名>形式の拡張名に変更されます。オリジナルのファイルと毀損されたファイルの容量を比較すると、ファイルの大きさがひどく縮小されたり増加されたりしていることが分かります。

 

 

ファイル変更方式を確認してみると、通常のファイル暗号化ではなく、Base64方式でエンコード処理をしているからだと思われます。

 

 

実際に毀損されたファイルを確認すると、以降にBase64エンコードとして処理されており、もし被害者が身代金を支払っても、ファイルを復旧することができません。

 

 

また、Chaosランサムウェアは、より広い拡散を目的に、他のドライブまたはUSBドライブにsurprise.exeファイル名で自分自身を複製し、ユーザーが他の装置にドライブをつなげて、実行する場合、ランサムウェアが再動作するように作成されています。

 

 

Chaos ランサムウェアは、各フォルダごとにread_it.txt決済案内ファイル（Ransomnote）を作成し、ビットコイン(Bitcoin)を要求するメッセージを出力しています。

 

 

AppCheckは、Chaosランサムウェアによってファイル毀損行為が発生する場合、ランサムウェア行為探知·遮断以前に、毀損されたファイルの自動復元を行います。

 

​

Chaosランサムウェアはバージョン管理を通じて徐々にランサムウェアの姿になっていく開発が行われており、今後、実際に流布活動が行われると、より多様な機能が追加され被害が拡大するでしょう。

そのため、インターネット上でファイルダウンロードやメール添付ファイルを実行する際にはより注意が必要です。

 

https://appcheck.jp/

リンクをクリックすると、AppCheckの紹介ページに移動します。