Ransom.Win32.MATRIX.AQDEE

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• {Malware directory}\{random characters}.exe

マルウェアは、以下のファイルを作成します。

• %System%\Drivers\PROCEXP152.SYS
• {Malware directory}\{random characters}.exe → used for file handle manipulation
• {Malware directory}\ALL_dmp.fldp
• {Malware directory}\log.txt
• %Application Data%\{random characters}.bmp → used as wallpaper
• %Application Data%\{random characters}.bat → contains commands to remove volume shadow copies and disable system recovery
• %Application Data%\{random characters}.vbs → contains commands to create scheduled task
• {Malware directory}\{random characters}.bat → contains commands to take ownership of a file

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe" /C copy /V /Y "{Malware directory}\{malware name}.exe" "{Malware directory}\{random characters}.exe";
• "{Malware directory}\{random characters}.exe" -n;
• %System%\cmd.exe" /C reg add "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%Application Data%\{random characters}.bmp" /f & reg add "HKCU\Control Panel\Desktop" /v WallpaperStyle /t REG_SZ /d "0" /f & reg add "HKCU\Control Panel\Desktop" /v TileWallpaper /t REG_SZ /d "0" /f;
• "%System%\cmd.exe" /C wscript //B //Nologo "%Application Data%\{random characters}.vbs";
• "%System%\cmd.exe" /C schtasks /Create /tn DSHCA /tr "%Application Data%\{random characters}.bat" /sc minute /mo 5 /RL HIGHEST /F;
• "%System%\cmd.exe" /C schtasks /Run /I /tn DSHCA;
• cmd /c ""{Malware directory}\{random characters}.bat" "%System Root%\Users\All Users\Microsoft\RAC\StateData\RacDatabase.sdf"";
• cacls "%System Root%\Users\All Users\Microsoft\RAC\StateData\RacDatabase.sdf" /E /G Machine Name:F /C;
• takeown /F "%System Root%\Users\All Users\Microsoft\RAC\StateData\RacDatabase.sdf";
• {random characters}.exe -accepteula "RacDatabase.sdf" -nobanner;

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• MutexTRU8

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{random characters}.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 0

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://tru.{BLOCKED}sday.org

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer name
• User name
• System Integrity Level
• Available Drives and Drive Data

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .MDF
• .NDF
• .LDF
• .MYD
• .EQL
• .SQL
• .VHD
• .SQLITE
• .SQLITE3
• .SQLITEDB
• .HWP
• .HWT
• .HML
• .HWDT
• .HWPX
• .CELL
• .NXL
• .HCDT
• .NXT
• .SHOW
• .HPT
• .HSDT
• .XLSX
• .XLS
• .DOCX
• .DOC
• .DOT
• .DOTX
• .ODT
• .ODS
• .BAK
• .TIB
• .DBS
• .DB
• .DBK
• .DB2
• .DB3
• .DBC
• .DT
• .DBS
• .DBF
• .DBX
• .MDB
• .SDF
• .NDF
• .NS2
• .NS3
• .NS4
• .NSF
• .ACCDB
• .VPD
• .DWG
• .CDR
• .PDF
• .JPEG
• .PSD
• .ZIP
• .RAR
• .7Z
• .TAR
• .GZ

マルウェアは、以下を実行します。

• It deletes the scheduled task with the following task name:
  • DSHCA

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• NTUSER.DAT
• NTUSER.POL
• NTUSER.DAT.LOG
• NTUSER.DAT.LOG1
• NTUSER.DAT.LOG2
• ICONCACHE.DB
• THUMBS.DB
• BOOTSECT.BAK
• BOOTMGR
• DEFAULT.RDP
• PAGEFILE.SYS
• HIBERFIL.SYS
• SWAPFILE.SYS
• WORDPAD.EXE

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• (X86)\ACRONIS\
• (X86)\BACKUP MANAGER\
• (X86)\BACKUPCLIENT\
• (X86)\CARBONITE\
• (X86)\DROPBOX\
• (X86)\GOOGLE\DRIVE\
• (X86)\MICROSOFT ONEDRIVE\
• (X86)\ONEDRIVE\
• \$RECYCLE.BIN\
• \7-ZIP\
• \ASPNET_CLIENT\
• \AVAST
• \AVDEFENDER
• \AVG
• \BITDEFENDER
• \BOOT\
• \COMMON FILES\
• \DEFAULT USER\
• \DVD MAKER\
• \ESET
• \INTERNET EXPLORER\
• \KASPERSKY LAB
• \KASPERSKYLAB
• \MALWAREBYTES
• \MCAFEE
• \MICROSOFT OFFICE\
• \MICROSOFT SILVERLIGHT\
• \MICROSOFT\CRYPTO\
• \MICROSOFT\OFFICE\
• \MICROSOFT\PROVISIONING\
• \MSOCACHE\
• \PANDA SECURITY
• \PROGRAMDATA\MICROSOFT\
• \REFERENCE ASSEMBLIES\
• \SOPHOS
• \SYMANTEC ENDPOINT
• \TEMP\
• \TOR BROWSER\
• \TREND MICRO
• \WINDOWS DEFENDER\
• \WINDOWS MEDIA PLAYER\
• \WINDOWS NT\
• \WINDOWS SIDEBAR\
• \WINDOWS.OLD\
• \WINDOWS10UPGRADE\
• \WINDOWS\
• \WINDOWSAPPS\
• \WINDOWSPOWERSHELL\
• \WINRAR\
• FILES\ACRONIS\
• FILES\BACKUP MANAGER\
• FILES\BACKUPCLIENT\
• FILES\CARBONITE\
• FILES\DROPBOX\
• FILES\GOOGLE\DRIVE\
• FILES\MICROSOFT ONEDRIVE\
• FILES\ONEDRIVE\

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• [TRU888@QQ.COM].{8 Random Characters}-{8 Random Characters}.TRU8

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

• {Encrypted Directory}\!README_TRU8!.rtf
• 
  
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .VBS
• .RTF
• .BMP
• .TMP
• .RDP
• .SEK
• .ICO
• .DLL
• .BLF
• .RBS
• .REGTRANS-MS
• .SETTINGCONTENT-MS
• .SEARCH-MS
• .LOG
• .XML
• .LOG1
• .LOG2