Ransom.Win32.AGENDA.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\QLOG\ThreadId(number).LOG.txt → logs execution status
  

マルウェアは、以下のプロセスを追加します。

• {malware filepath}/{malware filename} --password {string} --escalated --parent-sid {SID}
• "cmd" /C fsutil behavior set SymlinkEvaluation R2R:1
• "cmd" /C fsutil behavior set SymlinkEvaluation R2L:1
• "cmd" /C net use
• "cmd" /C wmic service where name='vss' call ChangeStartMode Manual
• "cmd" /C net start vss
• "cmd" /C vssadmin.exe delete shadows /all /quiet
• "cmd" /C net stop vss
• "cmd" /C wmic service where name='vss' call ChangeStartMode Disabled
• "powershell" $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}

マルウェアは、以下のフォルダを作成します。

• %User Temp%\QLOG

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\LanmanServer\Parameters
MaxMpxCt = 65535

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• vmms
• mepocs
• memtas
• veeam
• backup
• vss
• sql
• msexchange
• sophos
• msexchange\$
• wsbexchange
• pdvfsservice
• backupexecvssprovider
• backupexecagentaccelerator
• backupexecagentbrowser
• backupexecdivecimediaservice
• backupexecjobengine
• backupexecmanagementservice
• backupexecrpcservice
• gxblr
• gxvss
• gxclmgrs
• gxcvd
• gxcimgr
• gxmmm
• gxvsshwprov
• gxfwd
• sapservice
• sap
• sap\$
• sapd\$
• saphostcontrol
• saphostexec
• qbcfmonitorservice
• qbdbmgrn
• qbidpservice
• acronisagent
• veeamnfssvc
• veeamdeploymentservice
• veeamtransportsvc
• mvarmor
• mvarmor64
• vsnapvss
• acrsch2svc
• (.*?)sql(.*?)

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• vmms
• vmwp
• vmcompute
• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• sql
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• cautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• steam
• ynctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• cagservice
• qbidpservice
• qbdbmgrn
• qbcfmonitorservice
• sap
• teamviewer_service
• teamviewer
• tv_w32
• tv_x64
• cvmountd
• cvd
• cvfwd
• cvods
• saphostexec
• saposcol
• sapstartsrv
• avagent
• avscc
• dellsystemdetect
• enterpriseclient
• veeamnfssvc
• veeamtransportsvc
• veeamdeploymentsvc
• mvdesktopservice

情報漏えい

マルウェアは、以下の情報を収集します。

• Hostname
• Username

その他

マルウェアは、以下を実行します。

• It requires the correct password to proceed in its intended routine.
• It terminates itself if it detects that the sample is being executed in a virtual environment.
• It uses the CPUID assembly instruction to check if the sample is being executed in a virtual machine.
• The company ID in the ransom note is the same as the extension that it wil append to enrypted files.
• It encrypts local and shared/network drives.
• Impersonates the privileges of the following process:
  • lsass.exe
  • winlogon.exe
  • wininit.exe
• It logs its activities in a console.
  

マルウェアは、以下のパラメータを受け取ります。

• --password {string} → password to enter before proceeding with its intended routine
• --paths {directory} → defines the path that parses directories; if this flag is used and left empty, all directories will be scanned
• --ips {IP address} → allows providing of ip addresses
• --excludes {directory} → exclude directory for encryption
• --timer → time delay before execution
• --no-sandbox → disable sandbox detection
• --no-escalate → execute without admin privileges
• --impersonate
• --safe → execute in safe mode
• --no-local
• --no-domain
• --no-network
• --no-ef
• --no-ff
• --no-df
• --no-proc
• --no-services
• --no-vmkill-cluster
• --no-extension
• --no-wallpaper
• --no-note
• --no-delete
• --no-destruct
• --no-zero
• --print-image
• --print-delay
• --force
• --spreads
• --debugspread
• --spread-vcenter
• --dry-run
• --escalated
• --parent-sid
• --spread-process

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• desktop.ini
• autorun.ini
• ntldr
• bootsect.bak
• thumbs.db
• boot.ini
• ntuser.dat
• iconcache.db
• bootfont.bin
• ntuser.ini
• ntuser.dat.log
• autorun.inf
• bootmgr
• bootmgr.efi
• bootmgfw.efi
• #recycle

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• .
• ..
• windows
• system volume information
• intel
• admin$
• ipc$
• sysvol
• netlogon
• $windows.~ws
• application data
• mozilla
• program files (x86)
• program files
• $windows.~bt
• msocache
• tor browser
• programdata
• boot
• config.msi
• google
• perflogs
• appdata
• windows.old
• $recycle.bin

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {original filename}.{original file extension}.ytY81v7ip.1

マルウェアが作成する以下のファイルは、脅迫状です。

• {All available directories}/README-RECOVER-ytY81v7ip.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• themepack
• nls
• diapkg
• msi
• lnk
• exe
• scr
• bat
• drv
• rtp
• msp
• prf
• msc
• ico
• key
• ocx
• diagcab
• diagcfg
• pdb
• wpx
• hlp
• icns
• rom
• dll
• msstyles
• mod
• ps1
• ics
• hta
• bin
• cmd
• ani
• 386
• lock
• cur
• idx
• sys
• com
• deskthemepack
• shs
• theme
• mpa
• nomedia
• spl
• cpl
• adv
• icl
• msu
• -ytY81v7ip