• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.AGENDA.YPEFR

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Temp%\QLOG\ThreadId(Number).LOG → logs execution status
  

マルウェアは、以下のプロセスを追加します。

• "cmd" /C fsutil behavior set SymlinkEvaluation R2R:1
• "cmd" /C fsutil behavior set SymlinkEvaluation R2L:1
• "cmd" /C net use
• "cmd" /C wmic service where name='vss' call ChangeStartMode Manual
• "cmd" /C net start vss
• "cmd" /C vssadmin.exe delete shadows /all /quiet
• "cmd" /C net stop vss
• "cmd" /C wmic service where name='vss' call ChangeStartMode Disabled
• "powershell" $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}
• "powershell" -Command "Import-Module ActiveDirectory ; Get-ADComputer -Filter * | Select-Object -ExpandProperty DNSHostName"
• "powershell" -Command "ServerManagerCmd.exe -i RSAT-AD-PowerShell ; Install-WindowsFeature RSAT-AD-PowerShell ; Add-WindowsCapability -Online -Name 'RSAT.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0'"

マルウェアは、以下のフォルダを作成します。

• %Temp%\QLOG

(註：%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
*vxvjgf = "{Malware file path}" --password {String} --no-admin

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\LanmanServer\Parameters
MaxMpxCt = 65535

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
SymlinkRemoteToRemoteEvaluation = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
SymlinkRemoteToLocalEvaluation = 1

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• vmms
• mepocs
• memtas
• veeam
• backup
• vss
• sql
• msexchange
• sophos
• msexchange
• msexchange\$
• wsbexchange
• pdvfsservice
• backupexecvssprovider
• backupexecagentaccelerator
• backupexecagentbrowser
• backupexecdivecimediaservice
• backupexecjobengine
• backupexecmanagementservice
• backupexecrpcservice
• gxblr
• gxvss
• gxclmrs
• gxcvd
• gxcimgr
• gxmmm
• gxvsshwprov
• gxfwd
• sapservice
• sap
• sap\$
• sapd\$
• saphostcontrol
• saphostexec
• qbcfmonitorservice
• qbdbmgrn
• qbidpservice
• acronisagent
• veeamnfssvc
• veeamdeploymentservice
• veeamtransportsvc
• mvarmor
• mvarmor64
• vsnapvss
• acrsch2svc
• (.*?)sql(.*?)

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• vmms
• vmwp
• vmcompute
• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• sql
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• cagservice
• qbidpservice
• qbdbmgrn
• qbcfmonitorservice
• sap
• teamviewer_service
• teamviewer
• tv_w32
• tv_x64
• cvmountd
• cvd
• cvfwd
• cvods
• saphostexec
• saposcol
• sapstartsrv
• avagent
• avscc
• dellsystemdetect
• enterpriseclient
• veeamnfssvc
• veeamtransportsvc
• veeamdeploymentsvc
• mvdesktopservice

その他

マルウェアは、以下を実行します。

• It terminates itself if it detects that the sample is being executed within a virtual environment.
• It requires the correct input password to proceed in its intended routine.
• Impersonates the privileges of the following process:
  • wininit.exe
  • winlogon.exe
  • lsass.exe

マルウェアは、以下のパラメータを受け取ります。

• --password {String} → password to enter before proceeding with its intended routine
• --paths {Directory} → defines the path that parses directories; if this flag is used and left empty, all directories will be scanned
• --ips {IP Addresses} → Allows for providiing IP addresses
• --excludes {directory} → exclude directory for encryption
• --timer → Sets a time delay before execution.
• --no-sandbox
• --no-escalate
• --impersonate
• --safe
• --no_priority
• --should_be_admin
• --no-local
• --no-domain
• --no-network
• --no-ef
• --no-ff
• --no-df
• --no-proc
• --no-services
• --no-vmkill-cluster
• --no-extension
• --no-wallpaper
• --no-note
• --no-destruct
• --no-zero
• --print-image
• --print-delay
• --force
• --spreads
• --debugspread
• --spread-vcenter
• --dry-run

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• desktop.ini
• autorun.ini
• ntldr
• bootsect.bak
• thumbs.db
• boot.ini
• ntuser.dat
• iconcache.db
• bootfont.bin
• ntuser.ini
• ntuser.dat.log
• autorun.inf
• bootmgr
• bootmgr.efi
• bootmgfw.efi
• #recycle
• autorun.inf
• boot.ini
• bootfont.bin
• bootmgr
• bootmgr.efi
• bootmgfw.efi
• desktop.ini
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db
• #recycle
• bootsect.bak

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• windows
• system volume information
• intel
• admin$
• ipc$
• sysvol
• netlogon
• $windows.~ws
• application data
• mozilla
• program files (x86)
• program files
• $windows.~bt
• msocache
• tor browser
• programdata
• boot
• config.msi
• google
• perflogs
• appdata
• windows.old
• appdata
• boot
• windows
• windows.old
• $recycle.bin
• admin$

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• {Original filename}.{Original Extension}.CcXB9wE4s7.{Random}

マルウェアが作成する以下のファイルは、脅迫状です。

• {All Available Directories}\README-RECOVER-CcXB9wE4s7.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• themepack
• nls
• diapkg
• msi
• lnk
• exe
• scr
• bat
• drv
• rtp
• msp
• prf
• msc
• ico
• key
• ocx
• diagcab
• diagcfg
• pdb
• wpx
• hlp
• icns
• rom
• dll
• msstyles
• mod
• ps1
• ics
• hta
• bin
• cmd
• ani
• 386
• lock
• cur
• idx
• sys
• com
• deskthemepack
• shs
• theme
• mpa
• nomedia
• spl
• cpl
• adv
• icl
• msu
• CcXB9wE4s7

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %Temp%\QLOG\ThreadId(Number).LOG → 実行ステータスをログに記録する
  

その他

マルウェアは、以下を実行します。

• マルウェアが仮想環境内で実行されていることを検出した場合、自身の不正活動を終了します。
• マルウェアが意図した不正活動を実行するには、正しいパスワードの入力が必要です。
• 以下のプロセスの権限を偽装します。
  • wininit.exe
  • winlogon.exe
  • lsass.exe

マルウェアは、以下のパラメータを受け取ります。

• --password {文字列} → マルウェアが意図した不正活動を実行する前に入力されるパスワード
• --paths {ディレクトリ} → ディレクトリをパース（構文解析）するためのパスを定義する。「paths」の後にディレクトリが指定されていない場合、すべてのディレクトリがスキャンされる
• --ips {IPアドレス} → IPアドレスの指定を許可する
• --excludes {ディレクトリ} → 暗号化対象外のディレクトリを指定する
• --timer → 実行前の待機時間
• --no-sandbox
• --no-escalate
• --impersonate
• --safe
• --no_priority
• --should_be_admin
• --no-local
• --no-domain
• --no-network
• --no-ef
• --no-ff
• --no-df
• --no-proc
• --no-services
• --no-vmkill-cluster
• --no-extension
• --no-wallpaper
• --no-note
• --no-destruct
• --no-zero
• --print-image
• --print-delay
• --force
• --spreads
• --debugspread
• --spread-vcenter
• --dry-run

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください