Ransom.MSIL.CHAOS.H

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うマルウェアのプロセスの終了が実行できなくなります。

特定のファイル拡張子を持つファイルを暗号化します。 身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\svchost.exe → if {Malware Path}\{Malware Filename} is not %Application Data%\svchost.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のファイルを作成します。

• %User Temp%\{9 random characters}.jpg → Used as wallpaper

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• %Application Data%\svchost.exe → if {Malware Path}\{Malware Filename} is not %Application Data%\svchost.exe
• "%System%\cmd.exe" /C vssadmin delete shadows /all /quiet & wmic shadowcopy delete
• "%System%\cmd.exe" /C bcdedit /set {default} bootstatus policy ignoreallfailures & bcdedit /set {default} recoveryenabled no
• "%System%\cmd.exe" /C wbadmin delete catalog -quiet
• "%System%\NOTEPAD.EXE" %Application Data%\READ_ME.txt

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
UpdateTask = %Application Data%\svchost.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加し、タスクマネージャを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{9 random characters}.jpg

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %User Temp%\{9 random characters}.jpg
  

感染活動

マルウェアは、以下のドライブ内に自身のコピーを作成します。

• {Available Drive aside C:}\surprise.exe

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• vss
• sql
• svc$
• memtas
• sophos
• veeam
• backup
• GxVss
• GxBlr
• GxFWD
• GxCVD
• GxCIMgr
• DefWatch
• ccEvtMgr
• SavRoam
• RTVscan
• QBFCService
• Intuit.QuickBooks.FCS
• YooBackup
• YooIT
• zhudongfangyu
• sophos
• stc_raw_agent
• VSNAPVSS
• QBCFMonitorService
• VeeamTransportSvc
• VeeamDeploymentService
• VeeamNFSSvc
• veeam
• PDVFSService
• BackupExecVSSProvider
• BackupExecAgentAccelerator
• BackupExecRPCService
• AcrSch2Svc
• AcronisAgent
• CASAD2DWebSvc
• CAARCUpdateSvc
• TeamViewer

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\oAnWieozQPsRK7Bj83r4

マルウェアは、以下を実行します。

• It encrypts files with file size below 2,170,986,240 bytes.
• It randomly encrypts files with file size above 2,170,986,240 bytes rendering the file unusable.
• It displays a message box and terminates execution if any of the input languages below is detected:
  • Azerbaijan
  • Turkey
  
  

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します：$$ DATA $$

• .txt
• .jar
• .dat
• .contact
• .settings
• .doc
• .docx
• .xls
• .xlsx
• .ppt
• .pptx
• .odt
• .jpg
• .mka
• .mhtml
• .oqy
• .png
• .csv
• .py
• .sql
• .mdb
• .php
• .asp
• .aspx
• .html
• .htm
• .xml
• .psd
• .pdf
• .xla
• .cub
• .dae
• .indd
• .cs
• .mp3
• .mp4
• .dwg
• .zip
• .rar
• .mov
• .rtf
• .bmp
• .mkv
• .avi
• .apk
• .lnk
• .dib
• .dic
• .dif
• .divx
• .iso
• .7zip
• .ace
• .arj
• .bz2
• .cab
• .gzip
• .lzh
• .tar
• .jpeg
• .xz
• .mpeg
• .torrent
• .mpg
• .core
• .pdb
• .ico
• .pas
• .db
• .wmv
• .swf
• .cer
• .bak
• .backup
• .accdb
• .bay
• .p7c
• .exif
• .vss
• .raw
• .m4a
• .wma
• .flv
• .sie
• .sum
• .ibank
• .wallet
• .css
• .js
• .rb
• .crt
• .xlsm
• .xlsb
• .7z
• .cpp
• .java
• .jpe
• .ini
• .blob
• .wps
• .docm
• .wav
• .3gp
• .webm
• .m4v
• .amv
• .m4p
• .svg
• .ods
• .bk
• .vdi
• .vmdk
• .onepkg
• .accde
• .jsp
• .json
• .gif
• .log
• .gz
• .config
• .vb
• .m1v
• .sln
• .pst
• .obj
• .xlam
• .djvu
• .inc
• .cvs
• .dbf
• .tbi
• .wpd
• .dot
• .dotx
• .xltx
• .pptm
• .potx
• .potm
• .pot
• .xlw
• .xps
• .xsd
• .xsf
• .xsl
• .kmz
• .accdr
• .stm
• .accdt
• .ppam
• .pps
• .ppsm
• .1cd
• .3ds
• .3fr
• .3g2
• .accda
• .accdc
• .accdw
• .adp
• .ai
• .ai3
• .ai4
• .ai5
• .ai6
• .ai7
• .ai8
• .arw
• .ascx
• .asm
• .asmx
• .avs
• .bin
• .cfm
• .dbx
• .dcm
• .dcr
• .pict
• .rgbe
• .dwt
• .f4v
• .exr
• .kwm
• .max
• .mda
• .mde
• .mdf
• .mdw
• .mht
• .mpv
• .msg
• .myi
• .nef
• .odc
• .geo
• .swift
• .odm
• .odp
• .oft
• .orf
• .pfx
• .p12
• .pl
• .pls
• .safe
• .tab
• .vbs
• .xlk
• .xlm
• .xlt
• .xltm
• .svgz
• .slk
• .tar.gz
• .dmg
• .ps
• .psb
• .tif
• .rss
• .key
• .vob
• .epsp
• .dc3
• .iff
• .onepkg
• .onetoc2
• .opt
• .p7b
• .pam
• .r3d

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• READ_ME.txt

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• In the %System Root%:
  • Program Files
  • Program Files (x86)
  • Windows
  • $Recycle.Bin
  • MSOCache
  • Documents and Settings
  • Intel
  • PerfLogs
  • Windows.old
  • AMD
  • NVIDIA
  • ProgramData

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .mesmerised

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Folder}\READ_ME.txt
• %Application Data%\READ_ME.txt