Ransom.Win32.GANDCRAB.THBBGAI

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、特定の脆弱性を利用した感染活動を実行します。 マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• Trojan.JS.GANDCRAB.THBBGAI

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\bxmeoengtf.bmp
• {Encrypted Folder}\{Random}-MANUAL.txt

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• BitHuender

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\bxmeoengtf.bmp"

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• excel.exe
• firefoxconfig.exe
• infopath.exe
• isqlplussvc.exe
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• sqbcoreservice.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• steam.exe
• synctime.exe
• tbirdconfig.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• xfssvccon.exe

情報漏えい

マルウェアは、以下の情報を収集します。

• Username
• Computer Name
• Network Information
• System Language
• Machine Keyboard Layout
• OS Version and Platform
• AV Products Installed
• Processor Information
• IP Address
• Drives Information (Nerwork or Local)
• Ransom ID
• GandCrab Internal Info:
  • id
  • sub_id
  • version
  • action

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{URL}/{string1}/{string2}/{string3}.{string4}
• Where URL is equal to the following:
  
  • www.{BLOCKED}orp.link
  • www.{BLOCKED}rsport.biz
  • www.{BLOCKED}nau.biz
  • www.{BLOCKED}iinfissi.com
  • www.{BLOCKED}ck.biz
  • www.{BLOCKED}ay.biz
  • www.{BLOCKED}m.com
  • www.{BLOCKED}ellness.com
  • www.{BLOCKED}eisshorn.com
  • www.{BLOCKED}od.com
  • www.{BLOCKED}ckhoteldavos.com
  • www.{BLOCKED}ere-locarno.com
  • www.{BLOCKED}t
• Where string1 is equal to the following:
  • wp-content
  • statis
  • content
  • includes
  • data
  • uploads
  • news
• Where string2 is equal to the following:
  • images
  • pictures
  • image
  • graphic
  • assets
  • pics
  • imgs
  • tmp
• Where string3 is equal to the combination of the following:
  • im
  • de
  • ka
  • ke
  • am
  • es
  • so
  • fu
  • se
  • da
  • he
  • ru
  • me
  • mo
  • th
  • zu
• Where string4 is equal to the following:
  • jpg
  • png
  • gif
  • bmp

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

• CVE-2018-8440 | Windows ALPC Elevation of Privilege Vulnerability

マルウェアは、実行後、自身を削除します。

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• desktop.ini
• autorun.inf
• ntuser.dat
• iconcache.db
• bootsect.bak
• boot.ini
• ntuser.dat.log
• thumbs.db
• ntldr
• NTDETECT.COM
• Bootfont.bin
• -MANUAL.txt

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• ProgramData
• IETldCache
• Boot
• Program Files
• Tor Browser
• All Users
• Local Settings
• Windows
• %Windows%
• %AppDataLocal%
• %Program Files%\Common Files
• %Program Files%

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP（32-bit）,Vista（32-bit）、7（32-bit）、8（32-bit）の場合、通常 "C:\Program Files"です。また、Windows XP（64-bit）、Vista（64-bit）、7（64-bit）、8（64-bit）の場合、通常 "C:\Program Files（x86）" です。)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .{Random}

マルウェアが作成する以下のファイルは、脅迫状です。