Ransom.Win32.BURAN.WGL

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\Microsoft\Windows\lsass.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe" /e:on /c md "%Applicatyion Data%\Microsoft\Windows" & copy "%Desktop%\{Malware Name}.exe" "%Application Data%\Microsoft\Windows\lsass.exe" & reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Local Security Authority Subsystem Service" /t REG_SZ /F /D "\"%Application Data%\Microsoft\Windows\lsass.exe\" *"
• reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Local Security Authority Subsystem Service" /t REG_SZ /F /D "\"%Application Data%\Microsoft\Windows\lsass.exe\" *"
• "%Application Data%\Microsoft\Windows\lsass.exe" *
• ping -n 3 127.1
• "%System%\cmd.exe" /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• "%System%\cmd.exe" /C bcdedit /set {default} recoveryenabled no
• bcdedit /set {default} recoveryenabled no
• "%System%\cmd.exe" /C wbadmin delete catalog -quiet
• wbadmin delete catalog -quiet
• "%System%\cmd.exe" /C wbadmin delete systemstatebackup
• wbadmin delete systemstatebackup
• "%System%\cmd.exe" /C wbadmin delete systemstatebackup -keepversions:0
• wbadmin delete systemstatebackup -keepversions:0
• "%System%\cmd.exe" /C wbadmin delete backup
• wbadmin delete backup
• "%System%\cmd.exe" /C wmic shadowcopy delete
• wmic shadowcopy delete
• "%System%\cmd.exe" /C vssadmin delete shadows /all /quiet
• vssadmin delete shadows /all /quiet
• "%System%\cmd.exe" /C reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
• reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
• /C reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
• reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
• /C reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
• reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
• "%System%\cmd.exe" /C attrib "%userprofile%\documents\Default.rdp" -s -h
• attrib "%User Profile%\documents\Default.rdp" -s -h
• "%System%\cmd.exe" /C del "%userprofile%\documents\Default.rdp"
• "%System%\cmd.exe" /C wevtutil.exe clear-log Application
• wevtutil.exe clear-log Application
• "%System%\cmd.exe" /C wevtutil.exe clear-log Security
• wevtutil.exe clear-log Security
• "%System%\cmd.exe" /C wevtutil.exe clear-log System
• wevtutil.exe clear-log System
• "%System%\cmd.exe" /C sc config eventlog start=disabled
• sc config eventlog start=disabled
• "%System%\notepad.exe" %Desktop%\!!! YOUR FILES ARE ENCRYPTED !!!.TXT
• "%System%\cmd.exe" /c for /l %x in (1,1,999) do ( ping -n 3 127.1 & del "%Desktop%\buran.exe" & if not exist "%Desktop%\buran.exe" exit )
• "%System%\cmd.exe" /c for /l %x in (1,1,999) do ( ping -n 3 127.1 & del "%Application Data%\Microsoft\Windows\lsass.exe" & if not exist %Application Data%\Microsoft\Windows\lsass.exe" exit )

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、実行後、自身を削除します。

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Local Security Authority Subsystem Service = ""%Application Data%\Microsoft\Windows\lsass.exe" *"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Buran III

HKEY_CURRENT_USER\Software\Buran III\
Service

HKEY_LOCAL_MACHINE\BCD00000000\Objects\
{GUID}\Elements\250000e0

HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client

HKEY_CURRENT_USER\Software\Microsoft\
Terminal Server Client\Servers

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Buran III
Knock = "666"

HKEY_CURRENT_USER\Software\Buran III\
Service
Public Key = ""

HKEY_CURRENT_USER\Software\Buran III\
Service
Machine ID = ""

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
iWindowPosX = "164"

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
iWindowPosY = "100"

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
iWindowPosDX = "716"

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
iWindowPosDY = "638"

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• geoiptool.com
• iplogger.ru
• iplogger.org

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• bootfont.bin
• bootsect.bak
• desktop.ini
• ctfmon.exe
• iconcache.db
• master.exe
• master.dat
• ntdetect.com
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db
• !!! your files are encrypted !!!.txt

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• :\$recycle.bin\
• :\$windows.~bt\
• :\recycler
• :\system volume information\
• :\windows.old
• :\windows\
• :\intel\
• :\nvidia\
• :\inetpub\logs\
• \appdata\
• \apple computer\safari\
• \application data\
• \boot\
• \google\
• \google\chrome\
• \mozilla firefox\
• \mozilla\
• \opera software\
• \opera\
• \tor browser\
• \common files\
• \internet explorer\
• \windows defender\
• \windows mail\
• \windows media player\
• \windows multimedia platform\
• \windows nt\
• \windows photo viewer\
• \windows portable devices\
• \windowspoershell\
• \windows security\
• \embedded lockdown manager\
• \windows journal\
• \msbuild\
• \reference assemblies\
• \windows sidebar\
• \windows defender advanced threat protection\
• \microsoft\
• \package cache\
• \microsoft help\
• \desktop\
• %Windows%

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .{GUID}

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}:\!!! YOUR FILES ARE ENCRYPTED !!!.TXT
• %Desktop%\:\!!! YOUR FILES ARE ENCRYPTED !!!.TXT

(註：%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)