Ransom.Win32.LOCKBIT.EOD

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe
• notepad.exe

自動実行方法

マルウェアは、以下のファイルを作成します。

• %ProgramData%\Ck8GvVQ9E.ico
  

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCALMACHINE\SOFTWARE\Classes\
Ck8GvVQ9E\DefaultIcon
(Default) = %ProgramData%Ck8GvVQ9E.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.Ck8GvVQ9E
(Default) = Ck8GvVQ9E

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer
GlobalAssocChangedCounter = 0x00000027(39)

マルウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.Ck8GvVQ9E

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Ck8GvVQ9E

HKEY_LOCALMACHINE\SOFTWARE\Classes\
Ck8GvVQ9E\DefaultIcon

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc
• calc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onedrive
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• wuauclt
• xfssvccon

その他

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

• LBB.bin → Encrypted Lockbit Ransomware

マルウェアは、以下を実行します。

• If not executed with admin rights, it will attempt relaunch itself as admin by elevating its privileges via bypassing UAC.
• It encrypts fixed, removable and network drives
• It deletes files in recycle bin folder for removable and fixed drives
• It uses WQL to delete shadow copies
• It terminates if the machine has the following system language:
  • Arabic (Syria)
  • Armenian
  • Azerbaijani (Cyrillic)
  • Azerbaijani (Latin)
  • Belarusian
  • Georgian
  • Kazakh
  • Kyrgyz (Cyrillic)
  • Romanian (Moldova)
  • Russian
  • Russian (Moldova)
  • Tajik
  • Tatar
  • Turkmen
  • Ukrainian
  • Uzbek (Cyrillic)
  • Uzbek (Latin)
• It deletes services with the following strings:
  • backup
  • GxBlr
  • GxCIMgr
  • GxCVD
  • GxFWD
  • GxVss
  • memtas
  • mepocs
  • msexchange
  • sophos
  • sql
  • svc$
  • veeam
  • vss
• It deletes the following services:
  • WdBoot
  • WdFilter
  • WdNisDrv
  • WdNisSvc
  • WinDefend
  • wscsvc
  • sppsvc
  • Sense
  • SecurityHealthService
• Change the icon of encrypted file with %ProgramData%\Ck8GvVQ9E.ico

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のパラメータを受け取ります。

• -psex →Performs lateral movement via admin shares
• -gspd →Performs group policy modification for lateral movement
• -pass{value} →Uses the first 32 characters of the value as a key to decrypt the main routine (This is required for the ransomware to execute properly.)
• -safe →Reboots in SafeBoot

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• bootfont.bin
• bootsect.bak
• d3d9caps.dat
• desktop.ini
• GDIPFONTCACHEV1.DAT
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• all users
• boot
• config.msi
• default
• intel
• microsoft
• msocache
• perflogs
• program files
• program files (x86)
• programdata
• public
• system volume information
• tor browser
• windows
• windows.old
• x64dbg

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Random Characters}.Ck8GvVQ9E

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\Ck8GvVQ9E.README.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• 386
• .adv
• .ani
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diagpkg
• .dll
• .drv
• .exe
• .hlp
• .hta
• .icl
• .icns
• .ico
• .ics
• .idx
• .key
• .ldf
• .lnk
• .lock
• .mod
• .mpa
• .msc
• .msi
• .msp
• .msstyles
• .msu
• .nls
• .nomedia
• .ocx
• .pdb
• .prf
• .ps1
• .rom
• .rtp
• .scr
• .search-ms
• .shs
• .spl
• .sys
• .theme
• .themepack
• .wpx