Ransom.MSIL.HAKBIT.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

特定のファイル拡張子を持つファイルを暗号化します。 特定のフォルダ内のファイルを暗号化します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• %User Startup%\{renamed malware}.exe
• %System%\cmd.exe /C choice /C Y /N /D Y /T 3 & Del {malware filename}
• "vssadmin.exe" resize shadowstorage /for={Drive Letter}: /on={Drive Letter}: /maxsize=401MB
• "vssadmin.exe" resize shadowstorage /for={Drive Letter}: /on={Drive Letter}: /maxsize=unbounded
• %System%\notepad.exe %Desktop%\HELP_ME_RECOVER_MY_FILES.txt
• %User Temp%\{random}.exe m=psexec -i={host ip address} -d={target ip address} -f=%User Startup%\{randomly picked name}.exe -e=%User Temp%\{random}.exe

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、実行後、自身を削除します。

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

• %Desktop%\HELP_ME_RECOVER_MY_FILES.txt
• {Directories With Encrypted Files}\HELP_ME_RECOVER_MY_FILES.txt
• 

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• {Malware Name}.exe

他のシステム変更

マルウェアは、以下のファイルを削除します。

• {Files to be encrypted}

ダウンロード活動

マルウェアは、以下のURLからファイルをダウンロードします。マルウェアは、ファイルが感染コンピュータ内に保存されると、ファイル名を変更します。

• https://raw.{BLOCKED}usercontent.com/anthemtotheego/SharpExec/master/CompiledBinaries/SharpExec_x86.exe

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• hor.{BLOCKED}lus.cloudapp.{BLOCKED}e.com

マルウェアは、以下を実行します。

• List of names the malware uses
  • lsass.exe
  • svchst.exe
  • crcss.exe
  • chrome32.exe
  • firefox.exe
  • calc.exe
  • mysqld.exe
  • dllhst.exe
  • opera32.exe
  • memop.exe
  • spoolcv.exe
  • ctfmom.exe
  • SkypeApp.exe

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します：$$ DATA $$

• txt
• jpeg
• gif
• jpg
• png
• php
• cs
• cpp
• rar
• zip
• html
• htm
• xlsx
• avi
• mp4
• ppt
• doc
• docx
• xlsx
• sxi
• sxw
• odt
• hwp
• zip
• rar
• tar
• bz2
• mp4
• mkv
• eml
• msg
• ost
• pst
• edb
• sql
• accdb
• mdb
• dbf
• odb
• myd
• php
• java
• cpp
• pas
• asm
• key
• pfx
• pem
• p12
• csr
• gpg
• aes
• vsd
• odg
• raw
• nef
• svg
• psd
• vmx
• vmdk
• vdi
• lay6
• sqlite3
• sqlitedb
• accdb
• java
• class
• mpeg
• djvu
• tiff
• backup
• pdf
• cert
• docm
• xlsm
• dwg
• bak
• qbw
• nd
• tlg
• lgb

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• {Drive Letter}:\
• %Desktop%
• %User Profile%\My Pictures
• %User Profile%\My Documents

(註：%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .hor