Ransom.Win32.RHYSIDA.YXDGTT

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、感染コンピュータ上の特定の情報を収集します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
• %System%\cmd.exe /c cmd.exe /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"
• %System%\cmd.exe /c cmd.exe /c start powershell.exe -WindowStyle Hidden -Command "Sleep -Milliseconds 1000; schtasks /end /tn Rhsd; schtasks /delete /tn Rhsd /f; schtasks /create /sc ONSTART /tn Rhsd /tr \"'{Malware File Path}\{Malware File Name}.exe' {accepted arguments}\" /ru system; schtasks /run /tn Rhsd /i
• %System%\cmd.exe /c cmd.exe /c start powershell.exe -WindowStyle Hidden -Command \"Sleep -Milliseconds 1000; schtasks /delete /tn Rhsd /f
• %System%\cmd.exe /c cmd.exe /c start ping 127.0.0.1 -n 2 > nul && del /f /q "{Malware File Path}\{Malware File Name}.exe"
• %System%\cmd.exe /c cmd.exe /c reg delete \"HKCU\Contol Panel\Desktop\" /v Wallpaper /f
• %System%\cmd.exe /c cmd.exe /c reg delete \"HKCU\Conttol Panel\Desktop\" /v WallpaperStyle /f
• %System%\cmd.exe /c cmd.exe /c reg add \"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\" /v NoChangingWallPaper /t REG_SZ /d 1 /f
• %System%\cmd.exe /c cmd.exe /c reg add \"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\" /v NoChangingWallPaper /t REG_SZ /d 1 /f
• %System%\cmd.exe /c cmd.exe /c reg add \"HKCU\Control Panel\Desktop\" /v Wallpaper /t REG_SZ /d \"%Public%\bg.jpg\" /f
• %System%\cmd.exe /c cmd.exe /c reg add \"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\" /v Wallpaper /t REG_SZ /d \"%Public%\bg.jpg\" /f
• %System%\cmd.exe /c cmd.exe /c reg add \"HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\" /v WallpaperStyle /t REG_SZ /d 2 /f
• %System%\cmd.exe /c cmd.exe /c reg add \"HKCU\Control Panel\Desktop\" /v WallpaperStyle /t REG_SZ /d 2 /f
• %System%\cmd.exe /c rundll32.exe user32.dll,UpdatePerUserSystemParameters

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallPaper = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallPaper = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Public%\bg.jpg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
Wallpaper = %Public%\bg.jpg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
WallpaperStyle = 2

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

(註：変更前の上記レジストリ値は、「0」となります。)

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %Public%\bg.jpg
  

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

• Number of processors
• System information

マルウェアは、以下のパラメータを受け取ります。

• -d {path to encrypt} → used to specify directory to encrypt
• -sr → used to remove/delete itself if -S is not passed as an argument
• -nobg → avoids replacing desktop wallpaper and avoids disabling the ability to replace desktop wallpaper
• -md5
• -S → avoids ransomware routine and creates scheduled task named Rhsd to execute itself on system startup

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies
ActiveDesktop =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies
ActiveDesktop =

マルウェアは、以下を実行します。

• It changes the desktop wallpaper after encryption and prevents the user from changing it back by modifying the NoChangingWallpaper registry value.
• It uses wevtutil.exe to clear Windows event logs.
• It initializes resources based on the number of processors available in the system.
• It encrypts all available drives from A to Z.

以下のスケジュールされたタスクを追加します：

• Task Name: Rhsd
  Trigger: At system startup
  Action: Start a program: {Malware File Path}\{Malware File Name}.exe {accepted commands}

ランサムウェアの不正活動

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $Recycle.Bin
• Boot
• Documents and Settings
• PerfLogs
• ProgramData
• Recovery
• System Volume Information
• Windows
• $RECYCLE.BIN
• ApzData

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .rhysida

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\CriticalBreachDetected.pdf
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .bat
• .bin
• .cab
• .cmd
• .com
• .cur
• .diagcab
• .diagcfg
• .diagpkg
• .drv
• .dll
• .exe
• .hlp
• .hta
• .ico
• .msi
• .ocx
• .ps1
• .psm1
• .scr
• .sys
• .ini
• .Thumbs.db
• .url
• .iso

<補足>
情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

• プロセッサ数
• システム情報

マルウェアは、以下のパラメータを受け取ります。

• -d {暗号化するパス} → 暗号化するディレクトリを指定するために使用される
• -sr → 「-S」が引数として渡されない場合に、自身を削除するために使用される
• -nobg → デスクトップの壁紙の置き換えを回避するほか、デスクトップの壁紙を置き換える機能が無効化しないようにする
• -MD5
• -S → ランサムウェアの不正活動を回避して、システム起動時に実行されるスケジュールされたタスク「Rhsd」を作成する

その他

マルウェアは、以下を実行します。

• 暗号化後にデスクトップの壁紙を変更するほか、ユーザがNoChangingWallpaperのレジストリ値を変更して壁紙を元に戻すことを防止します。
• wevtutil.exeを使用してWindowsイベントログをクリアします。
• 感染コンピュータ内で使用可能なプロセッサの数に基づいてリソースを初期化します。
• 利用可能なすべてのドライブをAからZまで暗号化します。

以下のスケジュールされたタスクを追加します：

• タスク名: Rhsd
  トリガ: システムの起動時
  アクション: プログラムの起動: {マルウェアのファイルパス}\{マルウェアのファイル名}.exe {受け取ったコマンド}