Ransom.Win32.AGENDA.YXDGDT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• cmd /C fsutil behavior set SymlinkEvaluation R2R:1 ← Enable remote to remote symbolic link
• cmd /C fsutil behavior set SymlinkEvaluation R2L:1 ← Enable remote to local symbolic link
• powershell -Command "\"{get-service LanmanWorkstation |Restart-Service -Force}\""
• cmd /C net use
• cmd /C sc config vss start=demand
• cmd /C net start vss
• cmd /C vssadmin.exe delete shadows /all /quiet ← Deletes shadow copies
• cmd /C sc config vss start=disabled
• cmd /C net stop vss
• cmd /C for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkConnections = 1

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\
LanmanServer\Parameters
MaxMpxCt = 65535

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• (.*?)sql(.*?)
• acronisagent
• acrsch2svc
• anagementservice
• backup
• backupexecagentaccelerator
• backupexecagentbrowser
• backupexecdivecimediaservice
• backupexecjobengine
• backupexecm
• backupexecrpcservice
• backupexecvssprovider
• ervice
• gxblr
• gxcimgr
• gxclmgrs
• gxcvd
• gxfwd
• gxmmm
• gxvss
• gxvsshwprov
• memtas
• mepocs
• msexchange
• msexchange\$
• mvarmor
• mvarmor64
• pdvfsservice
• qbcfmonitorservice
• qbdbmgrn
• qbidpservice
• sap
• sap\$
• sapd\$
• saphostcontrol
• saphostexec
• sapservice
• sophos
• veeam
• veeamdeployments
• veeamnfssvc
• veeamtransportsvc
• vmms
• vsnap
• vss
• wsbexchange

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc
• avagent
• avscc
• bedbh
• ben
• benetns
• beserver
• cagservice
• cess
• cvd
• cvfwd
• cvmountd
• cvods
• dbeng50
• dbsnmp
• dellsystemde
• encsvc
• enterpriseclient
• excel
• firefox
• gien
• infopath
• isqlplussvc
• msac
• msaccess
• mspub
• mvdesktopservice
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• pvlsvr
• qbcfmonitorservice
• qbdbmgrn
• qbidpservice
• raw_agent_svc
• sap
• saphostexec
• saposcol
• sapstartsrv
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• teamviewer
• teamviewer_service
• tect
• thebat
• thunderbird
• tv_w32
• tv_x64
• veeamdeploymentsvc
• veeamnfssvc
• veeamtransportsvc
• visio
• vmms
• vmwp
• vsnapvss
• vxmon
• winword
• wordpad
• xfssvccon

その他

マルウェアは、以下を実行します。

• It enables privileges in its own access token.
• When the parameter, '-propagate' is used; it performs the following actions:
  • It adds the following folder:
    • %System Root%\{Random Characters}
  • It drops the following files:
    • %System Root%\{Random Characters}\PsExec.exe ← Legitimate Windows Application to execute the Agenda binary on remote machines within the network.
  • It adds the following processes:
    • cmd /C PowerShell.exe (Get-ADComputer -filter *).name ← Enumerate domain computers

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のパラメータを受け取ります。

• -ips ← Allows for providing IP addresses
• -password ← Required parameter to proceed to the landing page
• -paths ← Defines the path that parses directories; if this flag is used and left empty, all directories will be scanned.
• -propagate ← Propagate to remote machines
• -safe ← Restart in safe mode
• -debug ← Enables debug mode
• -timer ← Sets a time delay before execution
• -exclude ← For exclusion
• -no-proc
• -no-services
• -no-domain
• -no-network
• -no-wallpaper

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• #recycle
• autorun.inf
• autorun.ini
• boot.ini
• bootfont.bin
• bootfront.bin
• bootmgfw.efi
• bootmgr
• bootmgr.efi
• bootsect.bak
• desktop.ini
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• admin$
• all users
• appdata
• application data
• boot
• config.msi
• default
• google
• intel
• ipc$
• mozilla
• msocache
• netlogon
• perflogs
• program files
• program files (x86)
• programdata
• system volume information
• sysvol
• tor browser
• windows
• windows.old

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .hm-OG60Qdd

マルウェアが作成する以下のファイルは、脅迫状です。

• {All Available Directories}\README-RECOVER-hm-OG60Qdd.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .386
• .adv
• .ani
• .bat
• .bin
• .cmd
• .com
• .cpl
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diapkg
• .dll
• .drv
• .exe
• .hlp
• .hm-OG60Qdd
• .hta
• .icl
• .icns
• .ico
• .ics
• .idx
• .key
• .ldf
• .lnk
• .lock
• .mod
• .mpa
• .msc
• .msi
• .msp
• .msstyles
• .msu
• .nls
• .nomedia
• .ocx
• .pdb
• .prf
• .ps1
• .rom
• .rtp
• .scr
• .shs
• .spl
• .sys
• .theme
• .themepack
• .wpx