Ransom.Win32.MAKOP.GAIT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• %User Temp%\{Random Characters}.tmp
• %Programs%\zsadsadsad

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Programs%フォルダは、ユーザのプログラムグループが含まれるフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Windows\Start Menu\Programs" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs" です。または、Windows Vista、7、8の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" です。)

マルウェアは、以下のファイルを作成します。

• %Programs%\zsadsadsad\qasdadsdsd.lnk → points to %Application Data%\xcvxssdsd.exe
• %Programs%\zsadsadsad\dsffffffdd.lnk → points to %Application Data%\xcvxssdsd.exe
• %Application Data%\956647247
• %User Temp%\{Random Characters}.tmp\System.dll

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• {Malware Path}\{Malware Filename}.exe
• vssadmin delete shadows /all /quiet → deletes shadow copies
• wbadmin delete catalog -quiet → deletes backup catalog
• wmic shadowcopy delete → deletes shadow copies

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• m23071644

マルウェアは、以下のプロセスにコードを組み込みます。

• created {Malware Path}\{Malware Filename}.exe process

他のシステム変更

マルウェアは、以下のファイルを削除します。

• %User Temp%\{Random Characters}.tmp

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsrvc.exe
• mydesktopqos.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• boot.ini
• bootfont.bin
• ntldr
• ntdetect.com
• io.sys
• readme-warning.txt
• desktop.ini

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• RECYCLER
• chrome
• mozilla firefox
• internet explorer
• windows
• winnt
• C:\Windows
• C:\ProgramData\microsoft\windows\caches
• C:\Users\All Users\Microsoft\Windows\Caches
• C:\ProgramData
• C:\Users

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Original Filename}.{Original File Extension}.[{8 Random Characters}].[vassago0213@airmail.cc].vassago

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\readme-warning.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .makop
• .CARLOS
• .shootlock
• .shootlock2
• .1recoesufV8Sv6g
• .1recocr8M4YJskJ7
• .btc
• .KJHslgjkjdfg
• .origami
• .tomas
• .RAGA
• .zbw
• .fireee
• .XXX
• .element
• .HELP
• .zes
• .lockbit
• .captcha
• .gunga
• .fair
• .SOS
• .Boss
• .moloch
• .vassago
• .exe
• .dll