Ransom.Win32.LOCKBIT.YADLVT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\670IGylFT.ico → icon used for all encrypted files.
• %ProgramData%\670IGylFT.bmp → image used as Desktop wallpaper.

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{Generated Hash}

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.670IGylFT
{Default} = 670IGylFT

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
670IGylFT\DefaultIcon
{Default} = %ProgramData%\670IGylFT.ico

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
WallPaper = %ProgramData%\670IGylFT.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 10

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %ProgramData%\670IGylFT.bmp:
  

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• agntsvc
• calc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onedrive
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• wuauclt
• xfssvccon

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes
.670IGylFT

HKEY_LOCAL_MACHINE\SOFTWARE\Classes
670IGylFT\DefaultIcon

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

• {Malware Path}\PP.bat → detected as Ransom.BAT.LOCKBIT.A

マルウェアは、以下を実行します。

• It changes the encrypted file's icon to the following image:
  
• It encrypts fixed, removable and network shares.
• It uses WQL to delete volume shadow copies.
• It terminates if the machine has the following system language:
  • Arabic (Syria)
  • Armenian (Armenia)
  • Azerbaijani (Cyrillic Azerbaijan)
  • Azerbaijani (Latin Azerbaijan)
  • Belarusian (Belarus)
  • Georgian (Georgia)
  • Kazakh (Kazakhstan)
  • Kyrgyz (Kyrgyzstan)
  • Russian (Moldova)
  • Russian (Russia)
  • Tajik (Cyrillic Tajikistan)
  • Tatar (Russia)
  • Romanian (Moldova)
  • Turkmen (Turkmenistan)
  • Ukranian (Ukraine)
  • Uzbek (Cyrillic Uzbekistan)
  • Uzbek (Latin Uzbekistan)
• It deletes the following services if found running on the affected system:
  • EventLog
  • SecurityHealthService
  • Sense
  • sppsvc
  • vmicvss
  • vmvss
  • VSS
  • WdBoot
  • WdFilter
  • WdNisDrv
  • WdNisSvc
  • WinDefend
  • wscsvc
• It contains the following export functions which can be loaded using command line arguments:
  • del → function responsible for deleting itself.
  • gdel → function responsible for deleting group policy.
  • gmod → function responsible for updating group policy.
  • wdll → function responsible for installing the icon and changing the Desktop wallpaper.
  • gdll → function responsible for encrypting the infected system.
  • sdll → function responsible for restarting the system in safe mode.
  • pmod

マルウェアは、以下のパラメータを受け取ります。

• -pass {32 Random Hex Values / Hash} → used as a key to properly execute its intended routine.

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• bootfont.bin
• bootsect.bak
• d3d9caps.dat
• desktop.ini
• GDIPFONTCACHEV1.DAT
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db
• 670IGylFT.README.txt

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• all users
• boot
• config.msi
• default
• intel
• microsoft
• msocache
• perflogs
• program files
• program files (x86)
• programdata
• public
• system volume information
• tor browser
• windows
• windows.old
• x64dbg

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .670IGylFT

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\670IGylFT.README.txt
• %Desktop%\670IGylFT.README.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .386
• .adv
• .ani
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diagpkg
• .dll
• .drv
• .exe
• .hlp
• .hta
• .icl
• .icns
• .ico
• .ics
• .idx
• .key
• .ldf
• .lnk
• .lock
• .mod
• .mpa
• .msc
• .msi
• .msp
• .msstyles
• .msu
• .nls
• .nomedia
• .ocx
• .pdb
• .prf
• .ps1
• .rom
• .rtp
• .scr
• .search-ms
• .shs
• .spl
• .sys
• .theme
• .themepack
• .wpx
• .670IGylFT

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\670IGylFT.ico → すべての暗号化されたファイルに使用されるアイコン
• %ProgramData%\670IGylFT.bmp → デスクトップの壁紙として使用される画像

その他

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

• {マルウェアパス}\PP.bat → 「Ransom.BAT.LOCKBIT.A」として検出される

マルウェアは、以下を実行します。

• 暗号化されたファイルのアイコンを以下の画像に変更します。
  
• 固定ドライブ、リムーバブルドライブ、ネットワーク上の共有ドライブを暗号化します。
• WMIクエリ言語（WQL）を用いてシャドウコピーを削除します。
• 感染コンピュータ内に以下のシステム言語が存在する場合は強制終了します。
  • アラビア語（シリア）
  • アルメニア語（アルメニア）
  • アゼルバイジャン語（キリル文字表記）
  • アゼルバイジャン語（ラテン文字表記）
  • ベラルーシ語（ベラルーシ）
  • グルジア語（ジョージア）
  • カザフ語（カザフスタン）
  • キルギス語（キルギスタン）
  • ロシア語（モルドバ）
  • ロシア語（ロシア）
  • タジク語（キリル文字表記、タジキスタン）
  • タタール語（ロシア）
  • ルーマニア語（モルドバ）
  • トルクメン語（トルクメニスタン）
  • ウクライナ語（ウクライナ）
  • ウズベク語（キリル文字表記、ウズベキスタン）
  • ウズベク語（ラテン文字表記、ウズベキスタン）
• 影響を受けるコンピュータ上で以下のサービスが実行されている場合は、削除します。
  • EventLog
  • SecurityHealthService
  • Sense
  • sppsvc
  • vmicvss
  • vmvss
  • VSS
  • WdBoot
  • WdFilter
  • WdNisDrv
  • WdNisSvc
  • WinDefend
  • wscsvc
• コマンドライン引数を使用して読み込むことができる以下のエクスポート関数を含んでいます。
  • del → 自身を削除するための関数
  • gdel → グループポリシーを削除するための関数
  • gmod → グループポリシーを更新するための関数。
  • wdll → アイコンのインストールおよびデスクトップの壁紙を変更するための関数。
  • gdll → 感染コンピュータのデータを暗号化するための関数
  • sdll → 感染コンピュータをセーフモードで再起動するための関数
  • pmod

マルウェアは、以下のパラメータを受け取ります。

• -pass {ランダムな32文字の16進値 / ハッシュ} → 自身の不正活動を適切に実行するための鍵として使用される