Ransom.Win32.EMPIRE.THAOBBD

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のファイル拡張子を持つファイルを暗号化します。 特定のフォルダ内のファイルを暗号化します。 身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• Notepad %Desktop%\HOW-TO-DECRYPT.txt
• "vssadmin.exe" delete shadows /all /quiet
• "Wbadmin.exe" DELETE SYSTEMSTATEBACKUP
• "Wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest
• "cmd.exe" /c vssadmin delete shadows /all /quiet
• Cmd.exe /c wmic shadowcopy delete
• Cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
• Cmd.exe /c bcdedit /set {default} recoveryenabled no
• Cmd.exe /c wbadmin delete catalog -quiet
• Cmd.exe /C choice /C Y /N /D Y /T 1 & Del {Malware File Path}

(註：%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• ntyUBXFQTHyHkrn

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System

マルウェアは、以下を実行します。

• After its encryption, it display its ransom note
• Delete System Restore point
• Terminates itself if mutex is not created
• Connects to the following URL to send Keys(Password, Hwid, Salt):
  • https://{BLOCKED}54.xsph.ru/one.php
• It also encrypt removable and fixed drives

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します：$$ DATA $$

• .txt
• .TXT
• .jar
• .exe
• .dat
• .contact
• .settings
• .doc
• .docx
• .xls
• .xlsx
• .ppt
• .pptx
• .odt
• .jpg
• .png
• .jpeg
• .gif
• .csv
• .py
• .sql
• .mdb
• .sln
• .php
• .asp
• .aspx
• .html
• .htm
• .css
• .md
• .rtf
• .yaml
• .conf
• .json5
• .xml
• .psd
• .pdf
• .dll
• .c
• .cs
• .vb
• .vbs
• .p12
• .mp3
• .mp4
• .f3d
• .dwg
• .cpp
• .h
• .chm
• .chw
• .msi
• .zip
• .rar
• .mov
• .rtf
• .bmp
• .mkv
• .avi
• .apk
• .lnk
• .iso
• .7z
• .ace
• .arj
• .bz2
• .cab
• .gzip
• .gz
• .tgz
• .tar.gz
• .tbz2
• .tar.bz2
• .txz
• .tar.xz
• .bkf
• .tar.zip
• .tar.7z
• .tib
• .gho
• .bak
• .ab
• .vbk
• .scr
• .fbl
• .dmp
• .tmp
• .wps
• .com
• .bat
• .cmd
• .msp
• .cpl
• .ps1
• .vbs
• .js
• .wsf
• .cmdx
• .lzh
• .tar
• .uue
• .xz
• .z
• .001
• .mpeg
• .mp3
• .mpg
• .core
• .crproj
• .pdb
• .ico
• .pas
• .db
• .torrent
• .sqlite
• .mysql
• .dbf
• .json
• .postgresql
• .oracle
• .nosql
• .wim
• .cur
• .sdb
• .xsd
• .mui
• .log
• .rsm

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• %User Profile%

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\HOW-TO-DECRYPT.txt