Ransom.Win32.AGENDA.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\QLOG\ThreadId(number).LOG.txt → logs execution status
  

マルウェアは、以下のプロセスを追加します。

• {malware filepath}/{malware filename} --password {string} --escalated --parent-sid {SID}
• "cmd" /C fsutil behavior set SymlinkEvaluation R2R:1
• "cmd" /C fsutil behavior set SymlinkEvaluation R2L:1
• "cmd" /C net use
• "cmd" /C wmic service where name='vss' call ChangeStartMode Manual
• "cmd" /C net start vss
• "cmd" /C vssadmin.exe delete shadows /all /quiet
• "cmd" /C net stop vss
• "cmd" /C wmic service where name='vss' call ChangeStartMode Disabled
• "powershell" $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}

マルウェアは、以下のフォルダを作成します。

• %User Temp%\QLOG

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\LanmanServer\Parameters
MaxMpxCt = 65535

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• vmms
• mepocs
• memtas
• veeam
• backup
• vss
• sql
• msexchange
• sophos
• msexchange\$
• wsbexchange
• pdvfsservice
• backupexecvssprovider
• backupexecagentaccelerator
• backupexecagentbrowser
• backupexecdivecimediaservice
• backupexecjobengine
• backupexecmanagementservice
• backupexecrpcservice
• gxblr
• gxvss
• gxclmgrs
• gxcvd
• gxcimgr
• gxmmm
• gxvsshwprov
• gxfwd
• sapservice
• sap
• sap\$
• sapd\$
• saphostcontrol
• saphostexec
• qbcfmonitorservice
• qbdbmgrn
• qbidpservice
• acronisagent
• veeamnfssvc
• veeamdeploymentservice
• veeamtransportsvc
• mvarmor
• mvarmor64
• vsnapvss
• acrsch2svc
• (.*?)sql(.*?)

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• vmms
• vmwp
• vmcompute
• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• sql
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• cautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• steam
• ynctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• cagservice
• qbidpservice
• qbdbmgrn
• qbcfmonitorservice
• sap
• teamviewer_service
• teamviewer
• tv_w32
• tv_x64
• cvmountd
• cvd
• cvfwd
• cvods
• saphostexec
• saposcol
• sapstartsrv
• avagent
• avscc
• dellsystemdetect
• enterpriseclient
• veeamnfssvc
• veeamtransportsvc
• veeamdeploymentsvc
• mvdesktopservice

情報漏えい

マルウェアは、以下の情報を収集します。

• Hostname
• Username

その他

マルウェアは、以下を実行します。

• It requires the correct password to proceed in its intended routine.
• It terminates itself if it detects that the sample is being executed in a virtual environment.
• It uses the CPUID assembly instruction to check if the sample is being executed in a virtual machine.
• The company ID in the ransom note is the same as the extension that it wil append to enrypted files.
• It encrypts local and shared/network drives.
• Impersonates the privileges of the following process:
  • lsass.exe
  • winlogon.exe
  • wininit.exe
• It logs its activities in a console.
  

マルウェアは、以下のパラメータを受け取ります。

• --password {string} → password to enter before proceeding with its intended routine
• --paths {directory} → defines the path that parses directories; if this flag is used and left empty, all directories will be scanned
• --ips {IP address} → allows providing of ip addresses
• --excludes {directory} → exclude directory for encryption
• --timer → time delay before execution
• --no-sandbox → disable sandbox detection
• --no-escalate → execute without admin privileges
• --impersonate
• --safe → execute in safe mode
• --no-local
• --no-domain
• --no-network
• --no-ef
• --no-ff
• --no-df
• --no-proc
• --no-services
• --no-vmkill-cluster
• --no-extension
• --no-wallpaper
• --no-note
• --no-delete
• --no-destruct
• --no-zero
• --print-image
• --print-delay
• --force
• --spreads
• --debugspread
• --spread-vcenter
• --dry-run
• --escalated
• --parent-sid
• --spread-process

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• desktop.ini
• autorun.ini
• ntldr
• bootsect.bak
• thumbs.db
• boot.ini
• ntuser.dat
• iconcache.db
• bootfont.bin
• ntuser.ini
• ntuser.dat.log
• autorun.inf
• bootmgr
• bootmgr.efi
• bootmgfw.efi
• #recycle

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• .
• ..
• windows
• system volume information
• intel
• admin$
• ipc$
• sysvol
• netlogon
• $windows.~ws
• application data
• mozilla
• program files (x86)
• program files
• $windows.~bt
• msocache
• tor browser
• programdata
• boot
• config.msi
• google
• perflogs
• appdata
• windows.old
• $recycle.bin

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {original filename}.{original file extension}.ytY81v7ip.1

マルウェアが作成する以下のファイルは、脅迫状です。

• {All available directories}/README-RECOVER-ytY81v7ip.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• themepack
• nls
• diapkg
• msi
• lnk
• exe
• scr
• bat
• drv
• rtp
• msp
• prf
• msc
• ico
• key
• ocx
• diagcab
• diagcfg
• pdb
• wpx
• hlp
• icns
• rom
• dll
• msstyles
• mod
• ps1
• ics
• hta
• bin
• cmd
• ani
• 386
• lock
• cur
• idx
• sys
• com
• deskthemepack
• shs
• theme
• mpa
• nomedia
• spl
• cpl
• adv
• icl
• msu
• -ytY81v7ip

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\QLOG\ThreadId(number).LOG.txt → 実行ステータスをログに記録する
  

情報漏えい

マルウェアは、以下の情報を収集します。

• ホスト名
• ユーザ名

その他

マルウェアは、以下を実行します。

• マルウェアが自身の不正活動を継続するためには正しいパスワードが必要です。
• 仮想環境内で実行されていることを検出した場合、自身の不正活動を終了します。
• CPUID命令を使用して、自身が仮想マシン内で実行されているかどうかを確認します。
• 身代金要求文書（脅迫状）内の会社IDは、暗号化されたファイルに付加される拡張子と同じです。
• ローカルドライブ、ネットワーク上の共有ドライブを暗号化します。
• 以下のプロセスの権限に偽装します。
  • lsass.exe
  • winlogon.exe
  • wininit.exe
• コンソール内に自身のアクティビティを記録します。
  

マルウェアは、以下のパラメータを受け取ります。

• --password {文字列} → 自身の不正活動を継続する前に入力されるパスワード
• --paths {ディレクトリ} → ディレクトリを構文解析（パース）するパスを定義する。{ディレクトリ}が空の状態でこのフラグが使用された場合は、すべてのディレクトリがスキャンされる
• --ips {IPアドレス} → IPアドレスの提供を可能にする
• --excludes {ディレクトリ} → 暗号化から除外するディレクトリ
• --timer → 実行前の遅延時間
• --no-sandbox → サンドボックスによる検出を無効にする
• --no-escalate → 管理者権限なしで実行する
• --impersonate
• --safe → セーフモードで実行する
• --no-local
• --no-domain
• --no-network
• --no-ef
• --no-ff
• --no-df
• --no-proc
• --no-services
• --no-vmkill-cluster
• --no-extension
• --no-wallpaper
• --no-note
• --no-delete
• --no-destruct
• --no-zero
• --print-image
• --print-delay
• --force
• --spreads
• --debugspread
• --spread-vcenter
• --dry-run
• --escalated
• --parent-sid
• --spread-process