Ransom.Linux.TELLUDPASS.THLBOBA

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• home\{user}\encfile.txt → list of encrypted files
• home\{user}\public.txt
• home\{user}\showkey.txt

マルウェアは、以下のプロセスを追加します。

• /bin/bash -c service mysql stop
• /bin/bash -c service oracle stop
• /bin/bash -c systemctl disable postgresql*
• /bin/bash -c systemctl disable mysql*
• /bin/bash -c systemctl disable oracle*

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}.{BLOCKED}.216.148

マルウェアは、以下を実行します。

• It scans the following local IP addresses for SSH connection:
  • {BLOCKED}.{BLOCKED}.0.0/24
  • {BLOCKED}.{BLOCKED}.0.1/12
  • {BLOCKED}.{BLOCKED}.0.0/8
• It searches for keys in the following folders to use for SSH connection:
  • /home/{username}/.ssh → if ran without admin rights
  • /root/.ssh → if ran with admin rights

マルウェアは、以下のパラメータを受け取ります。

• -cf {string} → config yaml file
• -df {string} → decrypt file
• -dir {string} → encrypt or decrypt dir
• -goon → go on encrypt
• -d → decrypt file

ランサムウェアの不正活動

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• ^/bin
• ^/boot
• ^/sbin
• ^/tmp
• ^/etc
• ^/lib
• ^/proc
• ^/dev
• ^/sys
• ^/usr/include
• ^/usr/java

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .locked

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\README.html