RANSOM_SOREBRECT.A

2017年6月15日
 解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

このマルウェアは、トレンドマイクロが2017年6月に確認した、身代金要求型不正プログラム(ランサムウェア)「SOREBRECT」の亜種です。ファイルを利用せず、コードインジェクション機能を備えています。このマルウェアに感染すると、ユーザは重要な文書やファイルを暗号化される可能性があります。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、実行後、自身を削除します。

  詳細

ペイロード ファイルの作成, URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • {folder of encrypted files}\READ ME ABOUT DECRYPTION.txt ← ransom note

マルウェアは、以下のプロセスを追加します。

  • svchost.exe

マルウェアは、以下のプロセスにコードを組み込みます。

  • svchost.exe

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • ipinfo.io

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}l7s7ynmazxwu.onion/gate.php

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

  • {original filename}.pr0tect

マルウェアは、実行後、自身を削除します。

マルウェアが作成する以下のファイルは、脅迫状です。

  • <暗号化されたファイルのフォルダ>\READ ME ABOUT DECRYPTION.txt

マルウェアは、以下を実行します。

  • 以下のディレクトリのファイルの暗号化はしません。
    • Windows
    • Desktop
  • 以下の文字列を含むサービスを終了します。
    • AMS
    • ARSM
    • AcrSch2Svc
    • Acronis
    • AcronisAgent
    • AcronisFS
    • AcronisPXE
    • AdobeARMservice
    • Altaro.Agent.exe
    • Altaro.HyperV.WAN.RemoteService.exe
    • Altaro.SubAgent.exe
    • Altaro.UI.Service.exe
    • Apache2.2
    • Apache2.4
    • AutoDeploy
    • Backup
    • BackupExecAgentAccelerator
    • BackupExecAgentBrowser
    • BackupExecDeviceMediaService
    • BackupExecJobEngine
    • BackupExecManagementService
    • BackupExecRPCService
    • Browser
    • Catalog
    • CertPropSvc
    • CertSvc
    • CobianBackup11
    • ComarchAutomatSynchronizacji
    • ComarchML
    • ComarchUpdateAgentService
    • Connection
    • CrashPlanService
    • DLOAdminSvcu
    • DLOMaintenanceSvc
    • DataCollectorSvc
    • DbxSvc
    • DomainManagerProviderSvc
    • EDBSRVR
    • FBSServer
    • FBSWorker
    • FirebirdGuardianDefaultInstance
    • FirebirdServerDefaultInstance
    • GenetecSecurityCenterMobileServer
    • GenetecServer
    • GenetecWatchdog
    • KAORCMP999467066507407
    • LMIRfsDriver
    • LogisticsServicesHost800
    • MELCS
    • MEMTAS
    • MEPOCS
    • MEPOPS
    • MESMTPCS
    • MICROMD72ONCOEMR
    • MMS
    • MSExchangeADTopology
    • MSExchangeAntispamUpdate
    • MSExchangeEdgeSync
    • MSExchangeFBA
    • MSExchangeFDS
    • MSExchangeIS
    • MSExchangeImap4
    • MSExchangeMailSubmission
    • MSExchangeMailboxAssistants
    • MSExchangeMonitoring
    • MSExchangePop3
    • MSExchangeRep
    • MSExchangeRepl
    • MSExchangeSA
    • MSExchangeSearch
    • MSExchangeServiceHost
    • MSExchangeTransport
    • MSExchangeTransportLogSearch
    • MSSQL$ACRONIS
    • MSSQL$BKUPEXEC
    • MSSQL$MICROSOFT##SSEE
    • MSSQL$MICROSOFT##WID
    • MSSQL$PROBA
    • MSSQL$SBSMONITORING
    • MSSQL$SHAREPOINT
    • MSSQL$SQL2005
    • MSSQL$SQLEXPRESS
    • MSSQL$VEEAMSQL2008R2
    • MSSQLFDLauncher
    • MSSQLFDLauncher$PROBA
    • MSSQLFDLauncher$SBSMONITORING
    • MSSQLFDLauncher$SHAREPOINT
    • MSSQLSERVER
    • MSSQLSERVR
    • MSSQLServerADHelper
    • MSSQLServerADHelper100
    • MSSQLServerOLAPService
    • MicroMD
    • MsDtsServer
    • MsDtsServer100
    • MySQL
    • MySQL56
    • NAVSERVER
    • ONCOEMR2MICROMD7
    • POP3
    • PRIMAVERAWindowsService
    • PleskControlPanel
    • PleskSQLServer
    • PopPassD
    • PrimaveraWS800
    • PrimaveraWS900
    • Provider
    • QBCFMonitorService
    • QBFCService
    • QBVSS
    • QuickBooksDB23
    • QuickBooksDB25
    • RBMS_OptimaBI
    • RBSS_OptimaBI
    • RemoteSystemMonitorService
    • Replication
    • ReportServer
    • SBOClientAgent
    • SPAdminV4
    • SPSearch4
    • SPTimerV3
    • SPTrace
    • SPTraceV4
    • SPWriter
    • SPWriterV4
    • SQLAgent$PROBA
    • SQLAgent$SBSMONITORING
    • SQLAgent$SHAREPOINT
    • SQLAgent$SQLEXPRESS
    • SQLAgent$VEEAMSQL2008R2
    • SQLBrowser
    • SQLSERVERAGENT
    • SQLWriter
    • Server
    • ServerService
    • Service
    • ShadowProtectSvc
    • StorageNode
    • Sync
    • TTESCheduleServer800
    • TeamViewer
    • VSNAPVSS
    • VSS
    • Veeam
    • VeeamCatalogSvc
    • VeeamCloudSvc
    • VeeamDeploymentService
    • VeeamMountSvc
    • VeeamNFSSvc
    • VeeamTransportSvc
    • W32Time
    • W3SVC
    • WSS_ComputerBackupProviderSvc
    • WSS_ComputerBackupSvc
    • WSearch
    • WinVNC4
    • WseComputerBackupSvc
    • WseEmailSvc
    • WseHealthSvc
    • WseMediaSvc
    • WseMgmtSvc
    • WseNtfSvc
    • WseStorageSvc
    • ZWCService
    • bedbg
    • cbVSCService11
    • dashboardMD
    • dbupdate
    • dbupdatem
    • eXchange
    • memcached
    • msftesql$SBSMONITORING
    • msftesql-Exchange
    • plesksrv
    • postgresql-8.4
    • sesvc
    • spiceworks
    • stc_raw_agent
    • swprv
    • vds
    • vmicvss
    • vmms
    • wsbexchange
    • zBackupAssistService
  • wevtutil.exeコマンドを利用して、すべてのWindowsイベントログを消去します。
  • 匿名通信システム「The Onion Router(Tor)」を利用して接続します。

以下の情報を収集し、自身のサーバに報告します。

  • コンピュータ名
  • ユーザ名
  • マルウェアのパス
  • 新しい感染
  • auth.txt と info.txt の内容

その他

このランサムウェアは、感染したすべてのフォルダ内に以下の脅迫状を作成します。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.332.07
初回 VSAPI パターンリリース日 2017年4月10日
VSAPI OPR パターンバージョン 13.333.00
VSAPI OPR パターンリリース日 2017年4月11日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_SOREBRECT.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  {folder of encrypted files}\READ ME ABOUT DECRYPTION.txt


ご利用はいかがでしたか? アンケートにご協力ください