Ransom.Win32.BLACKCAT.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Temp%\{random numbers}.exe
• {Encrypted Directory}\checkpoints-{Encrypted File Name}.qgk5spt → deleted after file encryption
• %Desktop%\RECOVER-qgk5spt-FILES.txt.png

(註：%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe" /c "reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\109887672622700698813643583812537429462 /d Service"
• "%System%\cmd.exe" /c "bcdedit /set {current} safeboot minimal"
• {Malware File Name} --safeboot-instance --access-token {ACCESS_TOKEN} --prop-arg-safeboot --no-net --no-prop --no-impers --prop-file \"{Malware File Path}\{Malware File Name}\"
• "%System%\cmd.exe" /c "%User Temp%\{random numbers}.exe --safeboot-instance --access-token {ACCESS_TOKEN} --prop-arg-safeboot --no-net --no-prop --no-impers --prop-file \"{Malware File Path}\{Malware File Name}\" --prop-file \"{Malware File Path}\{Malware File Name}\""
• %User Temp%\{random numbers}.exe --safeboot-instance --access-token {ACCESS_TOKEN} --prop-arg-safeboot --no-net --no-prop --no-impers --prop-file \"{Malware File Path}\{Malware File Name}\" --prop-file \"{Malware File Path}\{Malware File Name}\"
• "%System%\cmd.exe" /c "iisreset.exe /stop"
• "%System%\cmd.exe" /c "reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f"
• "%System%\cmd.exe" /c "vssadmin.exe Delete Shadows /all /quiet"
• "%System%\cmd.exe" /c "arp -a"
• "%System%\cmd.exe" /c "wmic.exe Shadowcopy Delete"
• "%System%\cmd.exe" /c "wevtutil.exe el"
• "%System%\cmd.exe" /c "wevutil.exe cl \"{Windows Event Logs}"
• "%System%\cmd.exe" /c "bcdedit /set {default} recoveryenabled No"
• "%System%\cmd.exe" /c "bcdedit /set {current} safeboot network"
• "%System%\cmd.exe" /c "bcdedit /deletevalue {current} safeboot"
• "%System%\cmd.exe" /c "fsutil behavior set SymlinkEvaluation R2L:1"
• "%System%\cmd.exe" /c "fsutil behavior set SymlinkEvaluation R2R:1"
• wmic csproduct get UUID

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
109887672622700698813643583812537429462
(Default) = Service

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
MaxMpxCt = 65535

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %Desktop%\RECOVER-qgk5spt-FILES.txt.png
  

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• mepocs
• memtas
• veeam
• svc$
• backup
• sql
• vss
• msexchange
• sql$
• mysql
• mysql$
• sophos
• MSExchange
• MSExchange$
• WSBExchange
• PDVFSService
• BackupExecVSSProvider
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• GxBlr
• GxVss
• GxClMgrS
• GxCVD
• GxCIMgr
• GXMMM
• GxVssHWProv
• GxFWD
• SAPService
• SAP
• SAP$
• SAPD$
• SAPHostControl
• SAPHostExec
• QBCFMonitorService
• QBDBMgrN
• QBIDPService
• AcronisAgent
• VeeamNFSSvc
• VeeamDeploymentService
• VeeamTransportSvc
• MVArmor
• MVarmor64
• VSNAPVSS
• AcrSch2Svc

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• xfssvccon
• *sql*
• bedbh
• vxmon
• benetns
• bengien
• pvlsvr
• beserver
• raw_agent_svc
• vsnapvss
• CagService
• QBIDPService
• QBDBMgrN
• QBCFMonitorService
• SAP
• TeamViewer_Service
• TeamViewer
• tv_w32
• tv_x64
• CVMountd
• cvd
• cvfwd
• CVODS
• saphostexec
• saposcol
• sapstartsrv
• avagent
• avscc
• DellSystemDetect
• EnterpriseClient
• VeeamNFSSvc
• VeeamTransportSvc
• VeeamDeploymentSvc

その他

マルウェアは、以下を実行します。

• It requires being executed with the following arguments to proceed with its encryption routine:
  • --access-token {ACCESS_TOKEN} --safeboot
• It clears Windows event logs.
• It terminates ESXi VMs.
• It uses PsExec to propagate.
• It creates a pipe named:
  • \.\pipe\__rust_anonymous_pipe1__.{Process ID}.{random characters}

マルウェアは、以下のパラメータを受け取ります。

• --access-token → Access Token
• --bypass → Dummy
• --child → Run as child process
• --drag-and-drop → Invoked with drag and drop
• --drop-drag-and-drop-target → Drop drag and drop target batch file
• --log-file → Enable logging to specified file
• --no-impers → Do not spawn impersonated processes on Windows
• --no-net → Do not discover network shares on Windows
• --no-prop → Do not self propagate (worm) on Windows
• --no-prop-servers → Do not propagate to defined servers
• --no-vm-kill → Do not stop VMs on ESXi
• --no-vm-killnames → Do not stop defined VMs on ESXi
• --no-vm-snapshot-kill → Do not wipe VMs snapshots on ESXi
• --no-wall → Do not update desktop wallpaper on Windows
• -p, --path → Only process files inside defined paths
• --prop-file → Propagate specified file
• --propagate → Run as propagated process
• --safeboot → Reboot in Safe Mode before running on Windows
• --safeboot-instance → Run as safeboot instance on Windows
• --safeboot-network → Reboot in Safe Mode with Networking before running on Windows
• --sleep-restart → Sleep for duration in seconds after successful run and then restart. (This is soft persistence, keeps process alive no longer then defined in --sleep-restart-duration, 24 hours by default)
• --sleep-restart-duration → Keep soft persistence alive for duration in seconds. (24 hours by default)
• --sleep-restart-until → Keep soft persistence alive until defined UTC time in millis. (Defaults to 24 hours since launch)
• --ui → Show user interface
• --elevated → Run as elevated process
• --verbose → Log to console
• --extra-verbose → Log more to console (Also forces process to run in attached mode)
• --safeboot-entry → Safemode Reboot Callback
• -h, --help → Print help information
• --prop-arg-safeboot

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• desktop.ini
• autorun.inf
• ntldr
• bootsect.bak
• thumbs.db
• boot.ini
• ntuser.dat
• iconcache.db
• bootfont.bin
• ntuser.ini
• ntuser.dat.log

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• system volume information
• $windows.~ws
• $recycle.bin
• $windows.~bt
• msocache
• windows
• default
• all users
• tor browser
• boot
• config.msi
• perflogs
• windows.old

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .qgk5spt

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\RECOVER-qgk5spt-FILES.txt
• {Encrypted Directory}\RECOVER-qgk5spt-FILES.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• themepack
• nls
• diagpkg
• msi
• lnk
• exe
• cab
• scr
• bat
• drv
• rtp
• msp
• prf
• msc
• ico
• key
• ocx
• diagcab
• diagcfg
• pdb
• wpx
• hlp
• icns
• rom
• dll
• msstyles
• mod
• ps1
• ics
• hta
• bin
• cmd
• ani
• 386
• lock
• cur
• idx
• sys
• com
• deskthemepack
• shs
• ldf
• theme
• mpa
• nomedia
• spl
• cpl
• adv
• icl
• msu