Ransom.Win64.CYCLOPS.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\{21 Random Capital Letters}\{21 Random Capital Letters} ← Encrypted shellcode from a PNG file
• %User Temp%\{8 Random Alpha Numeric Characters} ← Encrypted shellcode
• %User Temp%\rgb9rast.exe ← Legitimate 7-zip Standalone Console Application
• {Malware File Path}\KNIGHT_LOG.txt

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• %Windows%\SysWOW64\cmd.exe ← Malicious codes are injected in this process
• %User Temp%\rgb9rast.exe ← Malicious codes are hollowed in this process
• cmd.exe /c %System%\WMIC.exe shadow copy where "ID='{ID}'" delete ← Deletes shadow copies

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\{21 Random Capital Letters}

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• knight_0_0_1

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• firefox.exe
• isqlplussvc.exe
• msaccess.exe
• mspub.exe
• mydesktopservice.com
• mydesktopservice.exe
• notepad.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• sqbcoreservice.exe
• sql.exe
• steam.exe
• synctime.exe
• tbirdconfig.exe
• thebat.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• xfssvccon.exe

情報漏えい

マルウェアは、以下の情報を収集します。

• OS Version
• Native System Info
• Computer Name
• User Name
• Host name

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• https://{BLOCKED}i.org
• https://i.{BLOCKED}b.co/Gp95Qcw/2286401330.png

マルウェアは、以下を実行します。

• It is capable of encrypting network drives.
• It empties the recycle bin.
• It deletes shadow copies using wmic.exe.
• The main encryptor is capable of accepting the following parameters:
  • -h {host.txt} ← Contains the server names or the DNS/NETBIOS of the remote server
  • -p {path.txt} ← Contains the targeted directories to encrypt
  • -m {local} ← Only encrypt local drives
  • -m {net} ← Only encrypt network drives
  • -log enabled ← Creates a text file for logging
• When encrypting network drives, it will check if the IP address starts with the following to ensure that it is encrypting local and non-internet systems:
  • 10.
  • 169.
  • 172.
  • 192.168.
• It adds the following processes to its white list to avoid termination:
  • explorer.exe
  • vmcompute.exe
  • vmms.exe
  • svchost.exe
  • teamviewer.exe

ランサムウェアの不正活動

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows~ws
• all users
• appdata
• application data
• boot
• common files
• config.msi
• default
• google
• intel
• internet explorer
• microsoft
• microsoft shared
• microsoft.net
• mozilla
• msbuild
• msocache
• opera
• perflog
• perflogs
• program files
• program files (X86)
• programdata
• public
• system volume information
• temp
• thumb
• tor browser
• usoshared
• windows
• windows defender
• windows journal
• windows nt
• windows photo viewer
• windows security
• windows.old
• windowsapp
• windowspowershell
• X64dbg

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .knight_l

マルウェアが作成する以下のファイルは、脅迫状です。

• {All Available Drives}\How To Restore Your Files.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .app
• .bin
• .cab
• .cmd
• .com
• .cpOBFW(L
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diagpkg
• .dlOBFW(L
• .dmg
• .drv
• .exe
• .hlp
• .hta
• .icns
• .ico
• .icOBFW(L
• .ics
• .idx
• .ipa
• .iso
• .key
• .ldf
• .lnk
• .lock
• .mod
• .mpa
• .msc
• .msi
• .msp
• .msstyles
• .msu
• .nls
• .nomedia
• .ocx
• .part
• .pdb
• .prf
• .ps1
• .rom
• .rtp
• .scr
• .sfcache
• .shs
• .spOBFW(L
• .sys
• .theme
• .themepack
• .wad
• .wav
• .winmd
• .wma
• .woff
• .wpx
• .xex

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\{大文字のランダムな21文字}\{大文字のランダムな21文字} ← PNGファイルから取得した暗号化されたシェルコード
• %User Temp%\{ランダムな英数字8文字} ← 暗号化されたシェルコード
• %User Temp%\rgb9rast.exe ← 正規の7-zip（スタンドアロン・コンソール・アプリケーション）
• {マルウェアのファイルパス}\KNIGHT_LOG.txt

マルウェアは、以下のプロセスを追加します。

• %Windows%\SysWOW64\cmd.exe ← このプロセス内に不正なコードが注入（インジェクション）される
• %User Temp%\rgb9rast.exe ← このプロセスの中が「くりぬかれ」不正なプロセスのコードで入れ替えられる
• cmd.exe /c %System%\WMIC.exe shadow copy where "ID='{ID}'" delete ← シャドウコピーを削除する

マルウェアは、以下のフォルダを作成します。

• %Application Data%\{大文字のランダムな21文字}

情報漏えい

マルウェアは、以下の情報を収集します。

• オペレーティングシステム（OS）のバージョン
• ネイティブシステム情報
• コンピュータ名
• ユーザ名
• ホスト名

その他

マルウェアは、以下を実行します。

• ネットワークドライブを暗号化する可能性があります。
• ごみ箱を空にします。
• wmic.exeを使ってシャドウコピーを削除します。
• メインの暗号化プログラムは、以下のパラメータを受け取る可能性があります。
  • -h {host.txt} ← リモートサーバのサーバ名またはDNS/NETBIOSを含む
  • -p {path.txt} ← 暗号化の対象となるディレクトリを含む
  • -m {local} ← ローカルドライブのみを暗号化する
  • -m {net} ← ネットワークドライブのみを暗号化する
  • -log enabled ← ログを記録するためにテキストファイルを作成する
• ネットワークドライブを暗号化する際に、IP アドレスが以下で始まるかどうかを確認し、ローカルおよびインターネット以外のコンピュータを暗号化していることを確実なものにします。
  • 10.
  • 169.
  • 172.
  • 192.168.
• 強制終了を回避するために、以下のプロセスを自身のホワイト リストに追加します。
  • explorer.exe
  • vmcompute.exe
  • vmms.exe
  • svchost.exe
  • teamviewer.exe