Ransom_WCRY.SM

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

この身代金要求型不正プログラム（ランサムウェア）は、脆弱性（MS17-010）を利用してこの脆弱性が存在するコンピュータに拡散します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

• Microsoft Windows SMB Server (MS17-010) Vulnerability

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %ProgramData%\{random}\tasksche.exe

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、以下のコンポーネントファイルを作成します。

• {folder of encrypted files}\@WanaDecryptor@.exe.lnk
• {folder of encrypted files}\@Please_Read_Me@.txt
• {folder of encrypted files}\@WanaDecryptor@.exe ← RANSOM_WCRY.I
• %ProgramData%\{random}\00000000.eky
• %ProgramData%\{random}\00000000.pky
• %ProgramData%\{random}\00000000.res
• %ProgramData%\{random}\@Please_Read_Me@.txt
• %ProgramData%\{random}\@WanaDecryptor@.exe
• %ProgramData%\{random}\@WanaDecryptor@.exe.lnk
• %ProgramData%\{random}\TaskData\Tor\libeay32.dll
• %ProgramData%\{random}\TaskData\Tor\libevent-2-0-5.dll
• %ProgramData%\{random}\TaskData\Tor\libevent_core-2-0-5.dll
• %ProgramData%\{random}\TaskData\Tor\libevent_extra-2-0-5.dll
• %ProgramData%\{random}\TaskData\Tor\libgcc_s_sjlj-1.dll
• %ProgramData%\{random}\TaskData\Tor\libssp-0.dll
• %ProgramData%\{random}\TaskData\Tor\ssleay32.dll
• %ProgramData%\{random}\TaskData\Tor\taskhsvc.exe
• %ProgramData%\{random}\TaskData\Tor\tor.exe
• %ProgramData%\{random}\TaskData\Tor\zlib1.dll
• %ProgramData%\{random}\b.wnry ← background image
• %ProgramData%\{random}\c.wnry ← TOR links
• %ProgramData%\{random}\f.wnry ← list of encrypted files
• %ProgramData%\{random}\r.wnry ← @Please_Read_Me@.txt
• %ProgramData%\{random}\s.wnry ← TOR module
• %ProgramData%\{random}\t.wnry
• %ProgramData%\{random}\taskdl.exe
• %ProgramData%\{random}\tasksche.exe
• %ProgramData%\{random}\taskse.exe
• %ProgramData%\{random}\u.wnry ← @WanaDecryptor@.exe
• %All User Profile%\{random}\00000000.eky
• %All User Profile%\{random}\00000000.pky
• %All User Profile%\{random}\00000000.res
• %All User Profile%\{random}\@Please_Read_Me@.txt
• %All User Profile%\{random}\@WanaDecryptor@.exe
• %All User Profile%\{random}\@WanaDecryptor@.exe.lnk
• %All User Profile%\{random}\TaskData\Tor\libeay32.dll
• %All User Profile%\{random}\TaskData\Tor\libevent-2-0-5.dll
• %All User Profile%\{random}\TaskData\Tor\libevent_core-2-0-5.dll
• %All User Profile%\{random}\TaskData\Tor\libevent_extra-2-0-5.dll
• %All User Profile%\{random}\TaskData\Tor\libgcc_s_sjlj-1.dll
• %All User Profile%\{random}\TaskData\Tor\libssp-0.dll
• %All User Profile%\{random}\TaskData\Tor\ssleay32.dll
• %All User Profile%\{random}\TaskData\Tor\taskhsvc.exe
• %All User Profile%\{random}\TaskData\Tor\tor.exe
• %All User Profile%\{random}\TaskData\Tor\zlib1.dll
• %All User Profile%\{random}\b.wnry
• %All User Profile%\{random}\c.wnry ← TOR links
• %All User Profile%\{random}\f.wnry ← list of encrypted files
• %All User Profile%\{random}\r.wnry ← @Please_Read_Me@.txt
• %All User Profile%\{random}\s.wnry ← TOR module
• %All User Profile%\{random}\t.wnry
• %All User Profile%\{random}\taskdl.exe
• %All User Profile%\{random}\tasksche.exe
• %All User Profile%\{random}\taskse.exe
• %All User Profile%\{random}\u.wnry ← @WanaDecryptor@.exe
• %User Temp%\{number}.WNCRYT ← temporary files
• %Desktop%\@Please_Read_Me@.txt
• %Desktop%\@WanaDecryptor@.bmp
• %Desktop%\@WanaDecryptor@.exe

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

マルウェアは、以下のフォルダを作成します。

• %ProgramData%\{random} ← malware path
• %ProgramData%\{random}\msg ← language notes
• %ProgramData%\{random}\TaskData
• %ProgramData%\{random}\TaskData\Data
• %ProgramData%\{random}\TaskData\Data\Tor
• %ProgramData%\{random}\TaskData\Tor
• %All User Profile%\{random}\msg ← language notes
• %All User Profile%\{random}\TaskData
• %All User Profile%\{random}\TaskData\Data
• %All User Profile%\{random}\TaskData\Data\Tor
• %All User Profile%\{random}\TaskData\Tor

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\MsWinZonesCacheCounterMutexA

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%ProgramData%\{random}\tasksche.exe"

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\mssecsvc2.0
Type = "16"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\mssecsvc2.0
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\mssecsvc2.0
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\mssecsvc2.0
ImagePath = {initial malware file path} -m security

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\mssecsvc2.0
DisplayName = Microsoft Security Center (2.0) Service

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\mssecsvc2.0
ObjectName = LocalSystem

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
WanaCrypt0r

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WanaCrypt0r
wd = "%ProgramData%\{random}"

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。$DATA$$

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .123
• .3dm
• .3ds
• .3g2
• .3gp
• .602
• .7z
• .ARC
• .PAQ
• .accdb
• .aes
• .ai
• .asc
• .asf
• .asm
• .asp
• .avi
• .backup
• .bak
• .bat
• .bmp
• .brd
• .bz2
• .cgm
• .class
• .cmd
• .cpp
• .crt
• .cs
• .csr
• .csv
• .db
• .dbf
• .dch
• .der
• .dif
• .dip
• .djvu
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwg
• .edb
• .eml
• .fla
• .flv
• .frm
• .gif
• .gpg
• .gz
• .hwp
• .ibd
• .iso
• .jar
• .java
• .jpeg
• .jpg
• .js
• .jsp
• .key
• .lay
• .lay6
• .ldf
• .m3u
• .m4u
• .max
• .mdb
• .mdf
• .mid
• .mkv
• .mml
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .msg
• .myd
• .myi
• .nef
• .odb
• .odg
• .odp
• .ods
• .odt
• .onetoc2
• .ost
• .otg
• .otp
• .ots
• .ott
• .p12
• .pas
• .pdf
• .pem
• .pfx
• .php
• .pl
• .png
• .pot
• .potm
• .potx
• .ppam
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .ps1
• .psd
• .pst
• .rar
• .raw
• .rb
• .rtf
• .sch
• .sh
• .sldm
• .sldx
• .slk
• .sln
• .snt
• .sql
• .sqlite3
• .sqlitedb
• .stc
• .std
• .sti
• .stw
• .suo
• .svg
• .swf
• .sxc
• .sxd
• .sxi
• .sxm
• .sxw
• .tar
• .tbk
• .tgz
• .tif
• .tiff
• .txt
• .uop
• .uot
• .vb
• .vbs
• .vcd
• .vdi
• .vmdk
• .vmx
• .vob
• .vsd
• .vsdx
• .wav
• .wb2
• .wk1
• .wks
• .wma
• .wmv
• .xlc
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .zip

ランサムウェアの不正活動

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• \Intel
• \ProgramData
• \WINDOWS
• \Program Files
• \Program Files (x86)
• \AppData\Local\Temp
• \Local Settings\Temp
• Temporary Internet Files
• Content.IE5

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {original filename}.WNCRY

マルウェアが作成する以下のファイルは、脅迫状です。

マルウェアは、以下のコンポーネントファイルを作成します。

• {folder of encrypted files}\@WanaDecryptor@.exe.lnk
• {folder of encrypted files}\@Please_Read_Me@.txt
• {folder of encrypted files}\@WanaDecryptor@.exe ← （「RANSOM_WCRY.I」として検出されるファイル）
• %ProgramData%\{random}\00000000.eky
• %ProgramData%\{random}\00000000.pky
• %ProgramData%\{random}\00000000.res
• %ProgramData%\{random}\@Please_Read_Me@.txt
• %ProgramData%\{random}\@WanaDecryptor@.exe
• %ProgramData%\{random}\@WanaDecryptor@.exe.lnk
• %ProgramData%\{random}\TaskData\Tor\libeay32.dll
• %ProgramData%\{random}\TaskData\Tor\libevent-2-0-5.dll
• %ProgramData%\{random}\TaskData\Tor\libevent_core-2-0-5.dll
• %ProgramData%\{random}\TaskData\Tor\libevent_extra-2-0-5.dll
• %ProgramData%\{random}\TaskData\Tor\libgcc_s_sjlj-1.dll
• %ProgramData%\{random}\TaskData\Tor\libssp-0.dll
• %ProgramData%\{random}\TaskData\Tor\ssleay32.dll
• %ProgramData%\{random}\TaskData\Tor\taskhsvc.exe
• %ProgramData%\{random}\TaskData\Tor\tor.exe
• %ProgramData%\{random}\TaskData\Tor\zlib1.dll
• %ProgramData%\{random}\b.wnry ← （背景画像）
• %ProgramData%\{random}\c.wnry ← （「Tor」のWebサイトへのリンク）
• %ProgramData%\{random}\f.wnry ← （暗号化されたファイルのリスト）
• %ProgramData%\{random}\r.wnry ← @Please_Read_Me@.txt
• %ProgramData%\{random}\s.wnry ← （「Tor」のモジュール）
• %ProgramData%\{random}\t.wnry
• %ProgramData%\{random}\taskdl.exe
• %ProgramData%\{random}\tasksche.exe
• %ProgramData%\{random}\taskse.exe
• %ProgramData%\{random}\u.wnry ← @WanaDecryptor@.exe
• %All User Profile%\{random}\00000000.eky
• %All User Profile%\{random}\00000000.pky
• %All User Profile%\{random}\00000000.res
• %All User Profile%\{random}\@Please_Read_Me@.txt
• %All User Profile%\{random}\@WanaDecryptor@.exe
• %All User Profile%\{random}\@WanaDecryptor@.exe.lnk
• %All User Profile%\{random}\TaskData\Tor\libeay32.dll
• %All User Profile%\{random}\TaskData\Tor\libevent-2-0-5.dll
• %All User Profile%\{random}\TaskData\Tor\libevent_core-2-0-5.dll
• %All User Profile%\{random}\TaskData\Tor\libevent_extra-2-0-5.dll
• %All User Profile%\{random}\TaskData\Tor\libgcc_s_sjlj-1.dll
• %All User Profile%\{random}\TaskData\Tor\libssp-0.dll
• %All User Profile%\{random}\TaskData\Tor\ssleay32.dll
• %All User Profile%\{random}\TaskData\Tor\taskhsvc.exe
• %All User Profile%\{random}\TaskData\Tor\tor.exe
• %All User Profile%\{random}\TaskData\Tor\zlib1.dll
• %All User Profile%\{random}\b.wnry
• %All User Profile%\{random}\c.wnry ← （「Tor」へのリンク）
• %All User Profile%\{random}\f.wnry ← （暗号化されたファイルのリスト）
• %All User Profile%\{random}\r.wnry ← @Please_Read_Me@.txt
• %All User Profile%\{random}\s.wnry ← （「Tor」のモジュール）
• %All User Profile%\{random}\t.wnry
• %All User Profile%\{random}\taskdl.exe
• %All User Profile%\{random}\tasksche.exe
• %All User Profile%\{random}\taskse.exe
• %All User Profile%\{random}\u.wnry ← @WanaDecryptor@.exe
• %User Temp%\{number}.WNCRYT ← （一時ファイル）
• %Desktop%\@Please_Read_Me@.txt
• %Desktop%\@WanaDecryptor@.bmp
• %Desktop%\@WanaDecryptor@.exe

マルウェアは、以下のフォルダを作成します。

• %ProgramData%\{random} ← （マルウェアのパス）
• %ProgramData%\{random}\msg ← （言語ファイル）
• %ProgramData%\{random}\TaskData
• %ProgramData%\{random}\TaskData\Data
• %ProgramData%\{random}\TaskData\Data\Tor
• %ProgramData%\{random}\TaskData\Tor
• %All User Profile%\{random}\msg ← （言語ファイル）
• %All User Profile%\{random}\TaskData
• %All User Profile%\{random}\TaskData\Data
• %All User Profile%\{random}\TaskData\Data\Tor
• %All User Profile%\{random}\TaskData\Tor

マルウェアは、以下の脆弱性を利用します。

• マイクロソフト セキュリティ情報 MS17-010

マルウェアは、以下のURLに接続します。接続が成功した場合、実行を停止します。このURLは感染の「kill switch」として利用されます。

• http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

マルウェアは、以下をスキャンしてポート445が開放されているシステムを確認します。

• LAN上のシステム
• インターネット上の無作為に生成されたIPアドレス

LANや、インターネット上のポート445が開放されているシステムを確認すると、脆弱性「MS17-010」を利用してリモートホストに自身のコピーを作成し実行します。

マルウェアは、リモートホスト上で作成されたコピー用に以下のファイルパスを作成します。

• %Windows%\mssecsvc.exe

マルウェアは、 ”%WINDOWS%\tasksche.exe”の存在の有無を確認します。このファイルが存在する場合、マルウェアは、このファイルをディレクトリ”%WINDOWS%\qeriuwjhrf\tasksche.exe”へ移動します。

マルウェアは、パラメータ"/i"で、”%Windows%\tasksche.exe”を実行します。