Ransom.PS1.NETWALKER.FA

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\CSC{Random Characters}.tmp
• %User Temp%\RES{Random Characters}.tmp
• %User Temp%\{Random Characters}.0.cs
• %User Temp%\{Random Characters}.dll
• %User Temp%\{Random Characters}.cmdline
• %User Temp%\{Random Characters}.out
• %User Temp%\{Random Characters}.err
• %User Temp%\{Random Characters}.pdb

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• %Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe /noconfig /fullpaths @"%User Temp%\{Random Characters}.cmdline"
• %Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RES{Random Characters}.tmp" "%User Temp%\CSC{Random Characters}.tmp"
• %System%\notepad.exe %Desktop%\{Appended Extension}-Readme.txt

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• Lotus*
• veeam*
• cbvscserv*
• hMailServer
• backup*
• *backup*
• apach*
• firebird*
• ibmiasrw
• IBM Domino*
• Simply Accounting Database Connection Manager
• IASJet
• QB*
• *sql*
• sql*
• QuickBooksDB*
• IISADMIN
• omsad
• dc*32
• server Administrator
• wbengine
• mr2kserv
• MSExchange*
• ShadowProtectSvc
• SP*4
• teamviewer
• MMS
• AcronisAgent
• ARSM
• AcrSch2Svc
• vsnapvss
• SPXService
• StorageCraft ImageManager
• wrsvc
• stc_endpt_svc
• acrsch2svc*

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• nslsvice.exe
• pg*
• nservice.exe
• cbvscserv*
• ntrtscan.exe
• cbservi*
• hMailServer*
• IBM*
• bes10*
• black*
• apach*
• bd2*
• db*
• ba*
• be*
• QB*
• oracle*
• wbengine*
• vee*
• postg*
• sage*
• sap*
• b1*
• fdlaunch*
• msmdsrv*
• report*
• msdtssr*
• coldfus*
• cfdot*
• swag*
• swstrtr*
• jetty.exe
• wrsa.exe
• team*
• agent*
• store.exe
• sql*
• sqbcoreservice.exe
• thunderbird.exe
• ocssd.exe
• encsvc.exe
• excel.exe
• synctime.exe
• mspub.exe
• ocautoupds.exe
• thebat.exe
• dbeng50.exe
• *sql*
• mydesktopservice.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• msaccess.exe
• tbirdconfig.exe
• wordpad.exe
• ocomm.exe
• dbsnmp.exe
• thebat64.exe
• winword.exe
• oracle.exe
• xfssvccon.exe
• firefoxconfig.exe
• visio.exe
• mydesktopqos.exe
• infopath.exe
• agntsvc.exe

その他

マルウェアは、以下を実行します。

• It would determine if the system it is running on is 64-bit or 32-bit and will use the architecture appropriate payload based on the result of its checking.

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• bootfont.bin
• bootmgr
• bootnxt
• bootsect.bak
• desktop.ini
• gdipfont*.dat
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat*
• ntuser.ini
• thumbs.db
• usrclass.dat
• usrclass.dat*

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• *system volume information
• *windows.old
• *:\users\*\*temp
• *msocache
• *:\winnt
• *$windows.~ws
• *perflogs
• *boot
• *:\windows
• *:\program file*\vmware
• \*\users\*\*temp
• \*\winnt
• \*\windows
• *\program file*\vmware
• *appdata*microsoft
• *appdata*packages
• *microsoft\provisioning
• *dvd maker
• *Internet Explorer
• *Mozilla
• *Mozilla*
• *Old Firefox data
• *\program file*\windows media*
• *\program file*\windows portable*
• *windows defender
• *\program file*\windows nt
• *\program file*\windows photo*
• *\program file*\windows side*
• *\program file*\windowspowershell
• *\program file*\cuass*
• *\program file*\microsoft games
• *\program file*\common files\system
• *\program file*\common files\*shared
• *\program file*\common files\reference ass*
• *\windows\cache*
• *temporary internet*
• *media player
• *:\users\*\appdata\*\microsoft
• \*\users\*\appdata\*\microsoft
• *\Program File*\Cisco

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Original Filename}.{Original extension}.{6 Random Characters}

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\{Appended Extension}-Readme.txt
• {Encrypted Directory}\{Appended Extension}-Readme.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .386
• .adv
• .ani
• .bat
• .cab
• .clb
• .cmd
• .com
• .cpl
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diagpkg
• .dll
• .drv
• .exe
• .hlp
• .hta
• .icl
• .icns
• .ico
• .ics
• .idx
• .key
• .ldf
• .lnk
• .lock
• .mod
• .mpa
• .msc
• .msi
• .msp
• .msstyles
• .msu
• .mui
• .nls
• .nomedia
• .ocx
• .prf
• .ps1
• .regtrans-ms
• .rom
• .rtp
• .scr
• .shs
• .spl
• .sys
• .theme
• .themepack
• .wpx