Ransom.Win64.MOUNTLOCKER.G

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Malware file path and name}.txt (Contains logs and system information)
• %User Temp%\{Random numbers}.bat (Used to delete itself)

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• \C$\ProgramData\{Malware file name}.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Classes\
{Ransomware extension}\shell\Open\
command
(Default) = explorer.exe {Ransom note}

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• SQL
• database
• msexchange

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• isqlplussvc.exe
• xfssvccon.exe
• sqlservr.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• thebat.exe
• steam.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• QBW32.exe
• QBW64.exe
• ipython.exe
• wpython.exe
• python.exe
• dumpcap.exe
• procmon.exe
• procmon64.exe
• procexp.exe
• procexp64.exe

情報漏えい

マルウェアは、以下の情報を収集します。

• Core count
• Total memory size
• Operating system information (e.g. version, architecture)
• Computer name
• User name
• Flag to indicate if executed as administrator
• Domain and group into which the machine is included

その他

マルウェアは、以下を実行します。

• It propagates to the following file paths if found for higher privilege execution:
  • \ADMIN$
  • \IPC$
• It installs the following services in its propagation routine:
  • Update{Random characters}

マルウェアは、以下のパラメータを受け取ります。

• /LOGIN= - Specify network username for propagation
• /PASSWORD= - Specify network password for propagation
• /CONSOLE - Log activities through console
• /NODEL - Disable self-deletion
• /NOKILL - Disable service and process killing
• /NOLOG - Disable file logging
• /SHAREALL - Encrypt all shared resources
• /NETWORK - Specify network type
• /PARAMS - Specify command line parameters for launching on other machines
• /TARGET= - Specify path to a file or a directory to be encrypted specifically
• /FAST - Specify buffer size for fast encryption
• /MIN= - Specify minimum file size to encrypt
• /MAX= - Specify maximum file size to encrypt
• /FULLPD - Enable encryption in Program Files, Program Files (x86), ProgramData, and SQL
• /MARKER= - Specify marker file name to drop in each encrypted drive
• /NOLOCK= - Specify paths to avoid in encryption

ランサムウェアの不正活動

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• bootmgr
• README_TO_DECRYPT.html
• :\Windows\
• :\System Volume Information\
• :\$RECYCLE.BIN\
• :\SYSTEM.SAV
• :\WINNT
• :\$WINDOWS.~BT\
• :\Windows.old\
• :\PerfLog\
• :\Boot
• :\ProgramData\Microsoft\
• :\ProgramData\Packages\
• $\Windows\
• $\System Volume Information\
• $\$RECYCLE.BIN\
• $\SYSTEM.SAV
• $\WINNT
• $\$WINDOWS.~BT\
• $\Windows.old\
• $\PerfLog\
• $\Boot
• $\ProgramData\Microsoft\
• $\ProgramData\Packages\
• \WindowsApps\
• \Microsoft\Windows\
• \Local\Packages\
• \Windows Defender
• \microsoft shared\
• \Google\Chrome\
• \Mozilla Firefox\
• \Mozilla\Firefox\
• \Internet Explorer\
• \MicrosoftEdge\
• \Tor Browser\
• \AppData\Local\Temp\
• Program Files
• Program Files (x86)
• ProgramData
• SQL

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .quantum

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted directory}\README_TO_DECRYPT.html
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• exe
• dll
• sys
• msi
• mui
• inf
• cat
• bat
• cmd
• ps1
• vbs
• ttf
• fon
• lnk