Ransom.Win32.SODINOKIBI.YABGC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

• Trojan.Win32.SODINSTALL.YABGC

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\{Random Characters}.bmp → used as wallpaper

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• bcdedit /set {current} safeboot network → if -smode parameter is used (Restart the machine to Safe Mode with networking)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{GUID}

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
Ed7 = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
QIeQ = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
96Ia6 = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
Ucr1RB = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
wJWsTYE = {Appended Extension}

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter
JmfOBvhb = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
*AstraZeneca = %Windows%\MsMpEng.exe (or %User Temp%\MsMpEng.exe, depending on what was successfully ran) → if -smode parameter is used

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
*MarineLePen = bcdedit /deletevalue {current} safeboot → if -smode parameter is used (Removes the machine from safe mode)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
AutoAdminLogon = 1 → if -smode parameter is used

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultUserName = {current user's username} → if -smode parameter is used

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DefaultPassword = DTrump4ever → if -smode parameter is used

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{Random Characters}.bmp

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• backup
• memtas
• mepocs
• sophos
• sql
• svc$
• veeam
• vss

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer name
• User name
• Workgroup
• Processor
• Operating System
• System Architecture

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\BlackLivesMatter

マルウェアは、以下を実行します。

• It will terminate itself if the affected system's keyboard layout is any of the following:
  • Arabic - Syria
  • Armenian Eastern
  • Azeri Cyrillic
  • Azeri Latin
  • Belarusian
  • Georgian
  • Kazakh
  • Kyrgyz Cyrillic
  • Romanian-Moldova
  • Russian
  • Russian-Moldova
  • Syriac
  • Tajik
  • Tatar
  • Turkmen
  • Ukranian
  • Uzbek Cyrillic
  • Uzbek Latin
• It wipes the contents of the following folder:
  • backup
• It searches for files to encrypt in remote drives, fixed drives, removable drives, and network resources.
• It does the following if -smode parameter is used:
  • It changes the current user's password to DTrump4ever
  • It enables automatic logon
  • It changes the default username to the current user's username
  • It changes the default password to DTrump4ever
• It shows the following error message if 2 or more instances of itself is running:
  

マルウェアは、以下のパラメータを受け取ります。

• -silent → skips the following:
  • Termination of blacklisted processes and services
  • Removal of shadow copies
• -path → specifies directory to be encrypted
• -nolocal → avoids encrypting fixed and removable drives
• -nolan → avoids encrypting network and shared drives
• -fast → fast encryption mode
• -smode → executes ransomware routine on safe mode

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• bootfont.bin
• bootsect.bak
• desktop.ini
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• appdata
• application data
• boot
• google
• intel
• mozilla
• msocache
• perflogs
• program files
• program files (x86)
• programdata
• system volume information
• tor browser
• windows
• windows.old

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .{Random Characters}

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\{Appended Extension}-readme.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• 386
• adv
• ani
• bat
• bin
• cab
• cmd
• com
• cpl
• cur
• deskthemepack
• diagcab
• diagcfg
• diagpkg
• dll
• drv
• exe
• hlp
• hta
• icl
• icns
• ico
• ics
• idx
• key
• ldf
• lnk
• lock
• mod
• mpa
• msc
• msi
• msp
• msstyles
• msu
• nls
• nomedia
• ocx
• prf
• ps1
• rom
• rtp
• scr
• shs
• spl
• sys
• theme
• themepack
• wpx