Ransom.Win32.SODINOKIBI.AUWUJDEI

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• powershell.exe -e {base-64 encoded command} → used to delete shadow copies

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\60B05D51-E22A-BE51-AFDA-3BD4B9FEEE06

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\Facebook_Assistant
yfZ = "{hex values}"

HKEY_LOCAL_MACHINE\Software\Facebook_Assistant
BTXx = "{hex values}"

HKEY_LOCAL_MACHINE\Software\Facebook_Assistant
m8Xvd = "{hex values}"

HKEY_LOCAL_MACHINE\Software\Facebook_Assistant
tVV6V1 = "{hex values}"

HKEY_LOCAL_MACHINE\Software\Facebook_Assistant
V2g8eL9 = ".{appended extension}"

HKEY_LOCAL_MACHINE\Software\Facebook_Assistant
o3XMH4XS = "{hex values}"

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• AcronisAgent
• AcrSch2Svc
• ARSM
• backup
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• BackupExecVSSProvider
• bedbg
• CAARCUpdateSvc
• CASAD2DWebSvc
• memtas
• mepocs
• MSExchange
• MSExchange$
• MSSQL
• MSSQL$
• MVArmor
• MVarmor64
• PDVFSService
• sophos
• sql
• stc_raw_agent
• svc$
• veeam
• VeeamDeploymentService
• VeeamNFSSvc
• VeeamTransportSvc
• VSNAPVSS
• vss
• WSBExchange

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc
• bedbh
• benetns
• bengien
• beserver
• CagService
• dbeng50
• dbsnmp
• DellSystemDetect
• encsvc
• EnterpriseClient
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• pvlsvr
• raw_agent_svc
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• VeeamDeploymentS
• VeeamNFSSvc
• VeeamTransportSv
• visio
• vsnapvss
• vxmon
• winword
• wordpad
• xfssvccon

情報漏えい

マルウェアは、以下の情報を収集します。

• User Name
• Computer Name
• Workgroup
• Systems Architecture
• Operating System
• Processor Information

その他

マルウェアは、以下を実行します。

• It checks for the computer language and terminates if it is any of the following:
  • Russian
  • Ukrainian
  • Belarusian
  • Tajik
  • Armenian
  • Azeri-Latin
  • Georgian
  • Kazahk
  • Kyrgyz - Cyrillic
  • Slovenian
  • Uzbek - Latin
  • Tatar
  • Romanian - Moldova
  • Russian - Moldova
  • Azeri - Cyrillic
  • Uzbek - Cyrillic
  • Syriac
  • Arabic - Syria
  • It searches for files to encrypt in remote drives, fixed drives, removable drives, and network resources.
  • It wipes the contents of the following folder:
    • archive backup
    • archive
    • back
    • backup
    • backups
    • bckp
  • It changes the desktop background after encryption
    

  ランサムウェアの不正活動

  マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

  • ntuser.ini
  • desktop.ini
  • boot.ini
  • thumbs.db
  • ntldr
  • bootfont.bin
  • autorun.inf
  • iconcache.db
  • bootsect.bak
  • ntuser.dat
  • ntuser.dat.log

  マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

  • intel
  • google
  • mozilla
  • perflogs
  • windows.old
  • $windows.~ws
  • boot
  • programdata
  • $windows.~bt
  • msocache
  • system volume information
  • appdata
  • application data
  • $recycle.bin
  • tor browser
  • program files
  • program files (x86)

  マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .{random characters}

  マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Directory}\{appended extension}-readme.txt
  • 
    

  以下のファイル拡張子を持つファイルについては暗号化しません：

  • .icl
  • .drv
  • .deskthemepack
  • .ico
  • .hta
  • .adv
  • .bin
  • .com
  • .bat
  • .scr
  • .wpx
  • .diagcfg
  • .mod
  • .idx
  • .diagpkg
  • .mpa
  • .rom
  • .ics
  • .msp
  • .theme
  • .ocx
  • .themepack
  • .prf
  • .key
  • .icns
  • .386
  • .cmd
  • .lock
  • .dll
  • .ani
  • .rtp
  • .msstyles
  • .shs
  • .sys
  • .ldf
  • .cpl
  • .msi
  • .msu
  • .cab
  • .spl
  • .lnk
  • .diagcab
  • .ps1
  • .nomedia
  • .cur
  • .nls
  • .hlp
  • .msc
  • .exe