Ransom.Win32.CELANCYC.SMYXDJA

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Malware Path}\toat.dll → text file containing logs of the ransomware
  

マルウェアは、以下のファイルを作成し実行します。

• %ProgramData%\tkec.exe → if the parameter "-power {restart | shutdown}" is used
  • It adds the following mutexes to ensure that only one of its copies runs at any one time:
    • Global/FSWiper
  • It drops the following files after encryption:
  • {Drive Letter}:\0F3LWP.tmp
  • Its size increases by 524,288 bytes continuously by padding.
  • If the drive has no enough free space left, it deletes the file afterwards.
  • It accepts the following parameters:
    • /RESTART → enables restarting the system
    • /SHUTDOWN → enables turning off the system
  • It adds the following processes:
  • cmd.exe /c ping 127.0.0.1 -n 5 > nul & del "%ProgramData%\tkec.exe" → deletes itself after approximately 5 seconds if no parameter is used
  • cmd.exe /c ping 127.0.0.1 -n 5 > nul & del "%ProgramData%\tkec.exe" & shutdown /r /t 0 → deletes itself and restarts the system after approximately 5 seconds if /RESTART parameter is used
  • cmd.exe /c ping 127.0.0.1 -n 5 > nul & del "%ProgramData%\tkec.exe" & shutdown /s /t 0 → deletes itself and turns off the system after approximately 5 seconds if /SHUTDOWN parameter is used

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe" /c SCHTASKS.exe /Create /RU "NT AUTHORITY\SYSTEM" /sc onstart /TN "Windows Update BETA" /TR "'{Malware Path}\{Malware Filename}' {Parameters | Empty}" /F → creates a scheduled task for persistence and if the parameter "path {Path}" is not used
• "%System%\cmd.exe" /c rd /s /q P:\$RECYCLE.BIN,Q:\$RECYCLE.BIN,R:\$RECYCLE.BIN,S:\$RECYCLE.BIN,T:\$RECYCLE.BIN,U:\$RECYCLE.BIN,V:\$RECYCLE.BIN,W:\$RECYCLE.BIN,X:\$RECYCLE.BIN,F:\$RECYCLE.BIN,G:\$RECYCLE.BIN,K:\$RECYCLE.BIN,L:\$RECYCLE.BIN,M:\$RECYCLE.BIN,N:\$RECYCLE.BIN,O:\$RECYCLE.BIN,Y:\$RECYCLE.BIN,Z:\$RECYCLE.BIN,A:\$RECYCLE.BIN,B:\$RECYCLE.BIN,C:\$RECYCLE.BIN,D:\$RECYCLE.BIN,E:\$RECYCLE.BIN,H:\$RECYCLE.BIN,I:\$RECYCLE.BIN,J:\$RECYCLE.BIN → empties Recycle Bin in drives A: - Z: when running on Windows Vista or newer versions
• "%System%\cmd.exe" /c rd /s /q P:\Recycler,Q:\Recycler,R:\Recycler,S:\Recycler,T:\Recycler,U:\Recycler,V:\Recycler,W:\Recycler,X:\Recycler,F:\Recycler,G:\Recycler,K:\Recycler,L:\Recycler,M:\Recycler,N:\Recycler,O:\Recycler,Y:\Recycler,Z:\Recycler,A:\Recycler,B:\Recycler,C:\Recycler,D:\Recycler,E:\Recycler,H:\Recycler,I:\Recycler,J:\Recycler → empties Recycle Bin in drives A: - Z: when running on Windows XP or older versions
• powershell -inputformat none -outputformat none -NonInteractive -Command Remove -Item 'd:\$RECYCLE.BIN','c:\$RECYCLE.BIN' -Recurse -Force → empties Recycle Bin in drives C: and D: when running on Windows Vista or newer versions
• "%System%\cmd.exe" /c FOR / F "delims=" %I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%I") → clears all event logs
• "%System%\cmd.exe" /c vssadmin.exe delete shadows /all /quiet&&wbadmin delete catalog -quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE → deletes all shadow copies and backup catalog, and disables Data Execution Prevention (DEP) security feature
• "%System%\cmd.exe" /c powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "%s" → adds an exclusion path to the preferences of Windows Defender
• "%System%\cmd.exe" /c powershell -inputformat none -outputformat none -NonInteractive -Command Remove-WindowsFeature Windows-Defender&&powershell -inputformat none -outputformat none -NonInteractive -Command Windows-Defender-GUI&&powershell -inputformat none -outputformat none -NonInteractive -Command New-ItemProperty -Path "HKLM:SOFTWAREPoliciesMicrosoftWindows Defender" -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force → attempts to remove Windows Defender feature and disables Windows Defender anti-spyware functionality through registry modification
• "%System%\cmd.exe" /c powershell -inputformat none -outputformat none -NonInteractive -Command Get-Service WinDefend | Stop-Service -PassThru | Set-Service -StartupType Disabled&&powershell -inputformat none -outputformat none -NonInteractive -Command Set-MpPreference -DisableRealtimeMonitoring $true → disables Windows Defender service and Windows Defender real-time monitoring
• "%System%\cmd.exe" /c SCHTASKS.exe /Delete /TN "Windows Update BETA" /F → deletes the created scheduled task named Windows Update BETA after encryption
• "%System%\cmd.exe" /c ping 127.0.0.1 -n 5 > nul & del "{Malware Path}\{Malware Filename}" → deletes itself after approximately 5 seconds if the parameter "-nodel" is not used
• "%System%\cmd.exe" /c "%ProgramData%\tkec.exe" /RESTART → if the parameter "-power restart" is used
• "%System%\cmd.exe" /c "%ProgramData%\tkec.exe" /SHUTDOWN → if the parameter "-power shutdown" is used

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\TisakMutex

その他

マルウェアは、以下を実行します。

• It enables the following privileges to allow access to restricted actions in the system:
  • SeDebugPrivilege
  • SeRestorePrivilege
  • SeBackupPrivilege
  • SeTakeOwnershipPrivilege
  • SeAuditPrivilege
  • SeSecurityPrivilege
  • SeIncreaseBasePriorityPrivilege
• It empties the Recycle Bin of all drives.
• It terminates the running process of a file and its related files before encrypting it.
• It avoids terminating the following processes if found running in the affected system's memory:
  • nativeproxy
  • googledrivesync
  • AnyDesk
  • TeamViewer
  • Yandex
  • googledrive
  • OneDrive
  • DropBox
  • GoogleDriveFS
  • YandexDisk2
  • Kerio
  • VPN Client
  • Radmin

マルウェアは、以下のパラメータを受け取ります。

• -path {Path} → encrypts all files in the specified path
• -skip {Bytes} → number of bytes to be skipped during encryption
• -power {restart | shutdown} → restarts or turns off the system after encryption
• -nomutex → does not create a mutex
• -nonetdrive → excludes network drive from encryption
• -nodel → skips deleting the malware itself after encryption
• -priority {on | any string} → specifies the priority level of the ransomware
  • on → enables the priority setting
  • any string → disables the priority setting
• -mode {full | fast | split | custom} → encryption settings
  • full → encrypts all data of each of the files
  • fast → encrypts only the first 1,048,576 bytes of data of each of the files
  • split → encrypts each file from a specific offset and requires the "-skip" parameter
  • custom → encrypts each file using a custom offset range and requires the "-skip" parameter
• -console → shows a console window containing encryption details:
  

以下のスケジュールされたタスクを追加します：

• If the parameter "-path {Path}" is not used
  • Location: {Scheduled Task Root Directory}
    Name: Windows Update BETA
    Trigger: At startup
    Action: Start a program → {Malware Path}\{Malware Filename} {Parameters | Empty}

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• BOOTNXT
• Tisak_Help.txt
• WinSCP.ini
• YandexDisk2.exe
• autorun.inf
• boot.ini
• bootfont.bin
• bootmgr
• bootsect.bak
• desktop.ini
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• rdp
• thumbs.db
• tkec.exe
• toat.dll
• tvb.mp

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $RECYCLE.BIN
• $Windows.~bt
• $windows.~ws
• .sync
• AVAST Software
• AVG
• All Users
• Anydesk
• Boot
• BrowserManager
• Cisco
• Comms
• Config.Msi
• DVD Maker
• Default
• Drive File Stream
• DriveFS
• EPSON Software
• ESET
• Foxit Reader
• Foxit Software
• InstallShield Installation Information
• Intel
• Internet Explorer
• JC - WebClient
• KMSAuto
• KMSAutoS
• Kaspersky Lab
• Kerio
• MSBuild
• MSOCache
• MegaRAID Storage Manager
• Microsoft Analysis Services
• Microsoft Help
• Microsoft OneDrive
• Microsoft SDKs
• Microsoft Visual Studio 16.0
• Microsoft Visual Studio 8
• Microsoft.NET
• Mozilla
• Mozilla Firefox
• Opera
• Opera Software
• Package Cache
• PerfLogs
• Radmin Viewer 3
• RaiDrive
• Reference Assemblies
• SearchBand
• SoftwareDistribution
• System Volume Information
• USOPrivate
• USOShared
• Uninstall Information
• VPN Client
• Web Components
• WinSCP
• Windows
• Windows Defender
• Windows Journal
• Windows Photo Viewer
• Windows Portable Devices
• Windows Sidebar
• WindowsApps
• WindowsPowerShell
• WireGuard
• Yandex.Disk.2
• Yandex.Notes
• Yandex.Telemost
• YandexBrowser
• YandexDisk2
• google
• microsoft
• qmlcache
• radmin
• tor browser
• windows nt
• windows.old
• yapin

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .Tisak

マルウェアが作成する以下のファイルは、脅迫状です。

• {Path to Encrypt}\Tisak_Help.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .386
• .Tisak
• .adv
• .ani
• .bat
• .cab
• .cmd
• .com
• .cpl
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diagpkg
• .dll
• .drv
• .exe
• .hlp
• .hta
• .icl
• .icns
• .ico
• .ics
• .idx
• .ldf
• .lnk
• .lock
• .mod
• .mpa
• .msc
• .msi
• .msp
• .msstyles
• .msu
• .nls
• .nomedia
• .ocx
• .pdb
• .prf
• .ps1
• .rdp
• .rom
• .rtp
• .scr
• .search-ms
• .shs
• .spl
• .sys
• .theme
• .themepack
• .wpx