Ransom.Win32.BLACKCAT.D
Ransom:Win32/BlackCat.A (MICROSOFT), BScope.TrojanRansom.BlackCat (VBA32)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
身代金要求文書のファイルを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Desktop%\RECOVER-7xdxxdp-FILES.txt.png → used to change wallpaper
(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)
マルウェアは、以下のプロセスを追加します。
- "%System%\cmd.exe" /c "iisreset.exe /stop"
- "%System%\cmd.exe" /c "reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f"
- "{Malware File Path}\{Malware File Name}" --child --access-token {ACCESS_TOKEN} → Executed multiple times
- "%System%\cmd.exe" /c "vssadmin.exe Delete Shadows /all quiet"
- "%System%\cmd.exe" /c arp -a
- "%System%\cmd.exe" /c "wmic.exe Shadowcopy Delete"
- "%System%\cmd.exe" /c bcdedit set {default} recoveryenabled No
- "%System%\cmd.exe" /c "wevtutil.exe el"
- "%System%\cmd.exe" /c "wevutil.exe cl \"{Windows Event Logs}"
- "%System%\cmd.exe" /c fsutil behavior set SymlinkEvaluation R2R:1
- "%System%\cmd.exe" /c fsutil behavior set SymlinkEvaluation R2L:1
- wmic csproduct get UUID
- "powershell.exe -encodedCommand {Base 64 encoded command} → used to terminate services that has "sql" in its name
- bcdedit /c set {current} safeboot minimal → if the --safeboot parameter is used
- bcdedit /c set {current} safeboot network → if the --safeboot-network parameter is used
- bcdedit /c deletevalue {current} safeboot
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
マルウェアは、以下のレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\3969357994888896545222593337177876501
ImagePath = {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot --safeboot-entry --no-net --no-prop --no-impers → if --safeboot parameter is used
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\3969357994888896545222593337177876501
ImagePath = {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot-network --safeboot-entry → if --safeboot-network parameter is used
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
MaxMpxCt = 65535
マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Desktop%\RECOVER-7xdxxdp-FILES.txt.png
マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。
- %Desktop%\RECOVER-7xdxxdp-FILES.txt.png
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- mepocs
- memtas
- veeam
- svc$
- backup
- sql
- vss
- msexchange
- sql$
- mysql
- mysql$
- sophos
- MSExchange
- MSExchange$
- WSBExchange
- PDVFSService
- BackupExecVSSProvider
- BackupExecAgentAccelerator
- BackupExecAgentBrowser
- BackupExecDiveciMediaService
- BackupExecJobEngine
- BackupExecManagementService
- BackupExecRPCService
- GxBlr
- GxVss
- GxClMgrS
- GxCVD
- GxCIMgr
- GXMMM
- GxVssHWProv
- GxFWD
- SAPService
- SAP
- SAP$
- SAPD$
- SAPHostControl
- SAPHostExec
- QBCFMonitorService
- QBDBMgrN
- QBIDPService
- AcronisAgent
- VeeamNFSSvc
- VeeamDeploymentService
- VeeamTransportSvc
- MVArmor
- MVarmor64
- VSNAPVSS
- AcrSch2Svc
- services that has "sql" in its name
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- agntsvc
- dbeng50
- dbsnmp
- encsvc
- excel
- firefox
- infopath
- isqlplussvc
- msaccess
- mspub
- mydesktopqos
- mydesktopservice
- notepad
- ocautoupds
- ocomm
- ocssd
- onenote
- oracle
- outlook
- powerpnt
- sqbcoreservice
- sql
- steam
- synctime
- tbirdconfig
- thebat
- thunderbird
- visio
- winword
- wordpad
- xfssvccon
- *sql*
- bedbh
- vxmon
- benetns
- bengien
- pvlsvr
- beserver
- raw_agent_svc
- vsnapvss
- CagService
- QBIDPService
- QBDBMgrN
- QBCFMonitorService
- SAP
- TeamViewer_Service
- TeamViewer
- tv_w32
- tv_x64
- CVMountd
- cvd
- cvfwd
- CVODS
- saphostexec
- saposcol
- sapstartsrv
- avagent
- avscc
- DellSystemDetect
- EnterpriseClient
- VeeamNFSSvc
- VeeamTransportSvc
- VeeamDeploymentSvc
その他
マルウェアは、以下を実行します。
- It terminates ESXi VMs.
- It clears event logs
- It uses PsExec to propagate.
マルウェアは、以下のパラメータを受け取ります。
- --access-token {ACCESS_TOKEN} → Access Token
- --drag-and-drop → Invoked with drag and dropped
- --drop-drag-and-drop-target → Drop drag and drop target batch file
- --extra-verbose → Log more to console
- -h, --help → Print help information
- --log-file {LOG_FILE} → Enable logging to specified file
- --no-impers → Do not spawn impersonated processes on Windows
- --no-net → Do not discover network shares on Windows
- --no-prop → Do not self propagate on Windows
- --no-prop-servers {NO_PROP_SERVERS} → Do not propagate to defined servers
- --no-vm-kill → Do not stop VMs on ESXi
- --no-vm-kill-names {NO_VM_KILL_NAMES} → Do not stop defined VMs on ESXi
- --no-vm-snapshot-kill → Do not wipe VMs snapshots on ESXi
- --no-wall → Do not update desktop wallpaper on Windows
- -p, --path {PATHS} → Only process files inside defined paths
- --prop-file {PROP_FILE} → Propagate specified file
- --safeboot → Reboot in safe mode before running on Windows
- --safeboot-instance → Run as safeboot instance on Windows
- --safeboot-network → Reboot in safe mode with networking before running on Windows
- --sleep-restart {SLEEP_RESTART} → Sleep for duration in seconds after successful run and then restart. This is soft persistence, keeps process alive no longer than defined in --sleep-restart duration, 24 hours by default.
- --sleep-restart-duration {SLEEP_RESTART_DURATION} → Keep soft persistence alive for duration in seconds. 24 hours by default.
- --sleep-restart-until {SLEEP_RESTART_UNTIL} → Keep soft persistence alive until defined UTC time in millis. Defaults to 24 hours since launch.
- --ui → Show user interface
- -v, --verbose → Log to console
ランサムウェアの不正活動
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- File Extensions:
- .deskthemepack
- .dll
- .drv
- .exe
- .lnk
- .lock
- .msc
- .msstyles
- .msu
- .sys
- .theme
- .themepack
- File Names:
- NTUSER.DAT
- autorun.inf
- boot.ini
- desktop.ini
- Directories:
- \$windows.~bt
- \$windows.~ws
- \AppData\Local\Microsoft\GameDVR
- \AppData\Local\Microsoft\Internet Explorer
- \AppData\Local\Packages\Microsoft
- \AppData\Local\Packages\MicrosoftWindows
- \Boot
- \PerfLogs
- \Program Files (x86)\*Edge*
- \Program Files (x86)\Common Files
- \Program Files (x86)\Common Files\Microsoft Shared
- \Program Files (x86)\Common Files\Services
- \Program Files (x86)\Common Files\System
- \Program Files (x86)\Internet Explorer
- \Program Files (x86)\Microsoft.NET
- \Program Files (x86)\Microsoft\*Edge*
- \Program Files (x86)\Microsoft\Temp
- \Program Files (x86)\Windows Defender
- \Program Files (x86)\Windows Mail
- \Program Files (x86)\Windows Media Player
- \Program Files (x86)\Windows Multimedia Platform
- \Program Files (x86)\Windows NT
- \Program Files (x86)\Windows Photo Viewer
- \Program Files (x86)\Windows Portable Devices
- \Program Files (x86)\Windows Security
- \Program Files (x86)\Windows Sidebar
- \Program Files (x86)\WindowsPowerShell
- \Program Files\Common Files\microsoft shared
- \Program Files\Common Files\Services
- \Program Files\Common Files\System
- \Program Files\Internet Explorer
- \Program Files\ModifiableWindowsApps
- \Program Files\Uninstall Information
- \Program Files\Windows Defender
- \Program Files\Windows Mail
- \Program Files\Windows Media Player
- \Program Files\Windows NT
- \Program Files\Windows Photo Viewer
- \Program Files\Windows Portable Devices
- \Program Files\Windows Security
- \Program Files\Windows Sidebar
- \Program Files\WindowsApps
- \Program Files\WindowsPowerShell
- \ProgramData\Microsoft\Device Stage
- \ProgramData\Microsoft\DeviceSync
- \ProgramData\Microsoft\Diagnosis
- \ProgramData\Microsoft\DiagnosticLogCSP
- \ProgramData\Microsoft\DRM
- \ProgramData\Microsoft\EdgeUpdate
- \ProgramData\Microsoft\Event Viewer
- \ProgramData\Microsoft\IdentityCRL
- \ProgramData\Microsoft\MapData
- \ProgramData\Microsoft\MF
- \ProgramData\Microsoft\NetFramework
- \ProgramData\Microsoft\Network
- \ProgramData\Microsoft\Provisioning
- \ProgramData\Microsoft\Search
- \ProgramData\Microsoft\SmsRouter
- \ProgramData\Microsoft\Spectrum
- \ProgramData\Microsoft\Speech_OneCore
- \ProgramData\Microsoft\Storage Health
- \ProgramData\Microsoft\User Account Pictures
- \ProgramData\Microsoft\Vault
- \ProgramData\Microsoft\WDF
- \ProgramData\Microsoft\Windows
- \ProgramData\Microsoft\Windows Defender
- \ProgramData\Microsoft\Windows NT
- \ProgramData\Microsoft\Windows Security Health
- \ProgramData\Microsoft\WinMSIPC
- \ProgramData\Microsoft\WPD
- \ProgramData\Packages\Microsoft
- \ProgramData\Packages\MicrosoftWindows
- \ProgramData\Packages\USOPrivate
- \ProgramData\Packages\USOShared
- \ProgramData\Packages\WindowsHolographicDevices
- \ProgramData\ssh\
- \ProgramData\USOPrivate
- \ProgramData\USOShared
- \windows
- \windows.old
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .7xdxxdp
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\RECOVER-7xdxxdp-FILES.txt
- %Desktop%\RECOVER-7xdxxdp-FILES.txt
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF066
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\3969357994888896545222593337177876501
- ImagePath = {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot --safeboot-entry --no-net --no-prop --no-impers
- ImagePath = {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot --safeboot-entry --no-net --no-prop --no-impers
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\3969357994888896545222593337177876501
- ImagePath = {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot-network --safeboot-entry
- ImagePath = {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot-network --safeboot-entry
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- MaxMpxCt = 65535
- MaxMpxCt = 65535
- In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = %Desktop%\RECOVER-7xdxxdp-FILES.txt.png
- Wallpaper = %Desktop%\RECOVER-7xdxxdp-FILES.txt.png
手順 6
このマルウェアのサービスを無効にします。
- Service Name: 3969357994888896545222593337177876501
- Image Path: {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot --safeboot-entry --no-net --no-prop --no-impers
- Service Name: 3969357994888896545222593337177876501
- Image Path: {Malware File Path}\{Malware File Name} --access-token {ACCESS_TOKEN} --prop-arg-safeboot-network --safeboot-entry
手順 7
以下のファイルを検索し削除します。
- %Desktop%\RECOVER-7xdxxdp-FILES.txt.png
- {Encrypted Directory}\RECOVER-7xdxxdp-FILES.txt
- %Desktop%\RECOVER-7xdxxdp-FILES.txt
手順 8
デスクトッププロパティを修正します。
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.BLACKCAT.D」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 10
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください