解析者: Bryelle Timothy Nisperos   
 別名:

MSIL/Filecoder.DP!tr.ransom (FORTINET), Ransom:MSIL/FileCoder!MTB (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

特定のフォルダ内のファイルを暗号化します。

  詳細

ファイルサイズ 16,712,287 bytes
タイプ EXE
メモリ常駐 はい
発見日 2023年3月27日
ペイロード ファイルの作成, システムのレジストリの変更, プロセスの強制終了, コンピュータの再起動, ファイルの暗号化

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

  • MBRiCoreX.exe

マルウェアは、以下のプロセスを追加します。

  • %System%\vssadmin.exe vssadmin delete shadows /all /quiet
  • %System%\NetSh.exe NetSh Advfirewall set allprofiles state off
  • %System%\Shutdown.exe -r -t 00 -f

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
UpdateBackUp = {Malware Path}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UpdateBackUp = {Malware Path}

HKEY_LOCAL_MACHINE\Software\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
UpdateBackUp = {Malware Path}

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows Defender
DisableRoutinelyTakingAction = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
WindowsDefenderMAJ = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
WindowsDefenderMAJ = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows Script Host\Settings
Enabled = 0

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows Script Host\Settings
Enabled = 0

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services
USBSTOR = 4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
USBSTOR = 4

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows
DisableCMD = 2

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\Windows\System
DisableCMD = 2

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft
DisableCMD = 2

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows
DisableCMD = 2

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = 2

HKEY_CURRENT_USER\Software\Policies\
Microsoft
DisableCMD = 2

HKEY_CURRENT_USER\Software\Policies\
Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}
Restrict_Run = 1

HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}
Restrict_Run = 1

HKEY_CURRENT_USER\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableRealtimeMonitoring = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableRealtimeMonitoring = 1

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services
SecurityHealthService = 4

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
SecurityHealthService = 4

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services
WdNisSvc = 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
WdNisSvc = 3

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\
Services
WinDefend = 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
WinDefend = 3

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoControlPanel = 1

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\SafeBoot\Minimal
MinimalX = 1

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = {Malware Path}\{Malware Filename}.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

感染活動

マルウェアは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {Removable Drive}:\Copter.flv.exe

マルウェアは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=Copter.flv.exe
shellexecute=Copter.flv.exe

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • ProcessHacker
  • procexp64
  • msconfig
  • taskmgr
  • chrome
  • firefox
  • regedit
  • opera
  • UserAccountControlSettings
  • yandex
  • microsoftedge
  • microsoftedgecp
  • iexplore

その他

マルウェアは、以下を実行します。

  • It disables the following:
    • Windows Defender
    • System Restore
    • Task Manager
    • CMD
    • Run Command
    • Control Panel
    • Safe Boot
    • Registry Tools
    • Windows Script Host
    • USB driver

    It disables executing the following applications by adding the following registry entries:
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{application}
      • Debugger = RIP

    where {application} are as follows:
    • msconfig.exe
    • taskmgr.exe
    • cmd.exe
    • chrome.exe
    • firefox.exe
    • opera.exe
    • microsoftedge.exe
    • microsoftedgecp.exe
    • notepad++.exe
    • iexplore.exe
    • notepad.exe
    • MSASCuiL.exe
    • mmc.exe
    • gpedit.msc
    • UserAccountControlSettings.exe
    • Autoruns64.exe
    • Autoruns.exe
    • systemexplorer.exe
    • taskkill.exe
    • powershell.exe
    • yandex.exe
    • attrib.exe
    • bcdedit.exe
    • sethc.exe
    • mspaint.exe
    • dllhost.exe
    • rundll.exe
    • rundll32.exe
    • cabinet.dll
    • chkdsk.exe
    • DBGHELP.exe
    • DCIMAN32.exe
    • wmplayer.exe
    • ksuser.dll
    • mpg4dmod.dll
    • mydocs.dll
    • rasman.dll
    • shellstyle.dll
    • secpol.msc
    • url.dll
    • usbui.dll
    • webcheck.dll
    • recoverydrive.exe
    • logoff.exe
    • control.exe
    • explorer.exe
    • regedit.exe
    • csrss.exe

    It also connects to http://{BLOCKED}somatic.com/

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • %User Profile%\Downloads
  • %User Profile%\Desktop
  • D:\

(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .ANNABELLE