Ransom.Win32.LOCKBIT.EOC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、情報収集する機能を備えていません。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Drive Letter}:\{Random characters}.lock
• %System%\{Random characters}.ico → icon used for encrypted files
• %User Temp%\{Random characters}.tmp.bmp → image used as wallpaper after encryption

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe" /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
• "%System%\mshta.exe" "%Desktop%\LockBit_Ransomware.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}
• "%System%\cmd.exe" /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 "{Malware Path}\{Malware Filename}.exe" & Del /f /q "{Malware Path}\{Malware Filename}.exe"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {2616EB00-2616-3573-8C49-ECBDBD33ECCC}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "{Malware Path}\{Malware File Name}" → deleted after successful encryption

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%Desktop%\LockBit_Ransomware.hta" → to enable automatic display of dropped .hta file

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\.lockbit
(Default) = LockBit

HKEY_CLASSES_ROOT\Lockbit
(Default) = LockBit Class

HKEY_CLASSES_ROOT\Lockbit\DefaultIcon
(Default) = %System%\{random}.ico

HKEY_CLASSES_ROOT\Lockbit\shell\
Open\Command
(Default) = %System%\mshta.exe %Desktop%\LockBit_Ransomware.hta

HKEY_CURRENT_USER\Software\40D9EB00167349
Private = {Generated session key}

HKEY_CURRENT_USER\Software\40D9EB00167349
Public = {Generated session key}

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{4 Random Characters}.tmp.bmp

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• AcronisAgent
• AcrSch2Svc
• ARSM
• backup
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• BackupExecVSSProvider
• bedbg
• CAARCUpdateSvc
• CASAD2DWebSvc
• ccEvtMgr
• ccSetMgr
• Culserver
• dbeng8
• dbsrv12
• DefWatch
• FishbowlMySQL
• Intuit.QuickBooks.FCS
• memtas
• mepocs
• MSExchange
• MSExchange$
• msftesql-Exchange
• msmdsrv
• MSSQL
• MSSQL$
• MSSQL$KAV_CS_ADMIN_KIT
• MSSQL$MICROSOFT##SSEE
• MSSQL$MICROSOFT##WID
• MSSQL$MICROSOFT##WID
• MSSQL$SBSMONITORING
• MSSQL$SHAREPOINT
• MSSQL$VEEAMSQL2012
• MSSQLFDLauncher$SBSMONITORING
• MSSQLFDLauncher$SHAREPOINT
• MSSQLServerADHelper100
• MVArmor
• MVarmor64
• MySQL57
• PDVFSService
• QBCFMonitorService
• QBFCService
• QBIDPService
• QBVSS
• RTVscan
• SavRoam
• sophos
• sql
• sqladhlp
• SQLADHLP
• sqlagent
• SQLAgent$KAV_CS_ADMIN_KIT
• SQLAgent$SBSMONITORING
• SQLAgent$SHAREPOINT
• SQLAgent$VEEAMSQL2012
• sqlbrowser
• SQLBrowser
• Sqlservr
• SQLWriter
• stc_raw_agent
• svc$
• tomcat6
• veeam
• VeeamDeploymentService
• VeeamNFSSvc
• VeeamTransportSvc
• vmware-converter
• vmware-usbarbitator64
• VSNAPVSS
• vss
• wrapper
• WSBExchange
• YooBackup
• YooIT
• zhudongfangyu

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 360doctor
• 360se
• acwebbrowser
• ADExplorer
• ADExplorer64
• ADExplorer64a
• Adobe CEF
• Adobe Desktop Service
• AdobeCollabSync
• AdobeIPCBroker
• agntsvc
• AutodeskDesktopApp
• Autoruns
• Autoruns64
• Autoruns64a
• Autorunsc
• Autorunsc64
• Autorunsc64a
• avz
• axlbridge
• bedbh
• benetns
• bengien
• beserver
• BrCcUxSys
• BrCtrlCntr
• CagService
• CoreSync
• Creative Cloud
• Culture
• dbeng50
• dbsnmp
• Defwatch
• DellSystemDetect
• dumpcap
• encsvc
• EnterpriseClient
• excel
• fbguard
• fbserver
• fdhost
• fdlauncher
• GDscan
• GlassWire
• GWCtlSrv
• Helper
• httpd
• infopath
• InputPersonalization
• isqlplussvc
• j0gnjko1
• java
• koaly-exp-engine-service
• msaccess
• MsDtSrvr
• mspub
• mydesktopqos
• mydesktopservice
• mysqld
• node
• notepad
• notepad++
• ocautoupds
• ocomm
• ocssd
• onenote
• ONENOTEM
• oracle
• outlook
• powerpnt
• ProcessHacker
• Procexp
• Procexp64
• procexp64a
• procmon
• procmon64
• procmon64a
• pvlsvr
• QBDBMgr
• QBDBMgrN
• QBIDPService
• qbupdate
• QBW32
• Raccine
• Raccine_x86
• RaccineElevatedCfg
• RaccineSettings
• RAgui
• raw_agent_svc
• RdrCEF
• RTVscan
• sam
• Simply
• SimplyConnectionManager
• sqbcoreservice
• sqlbrowser
• sqlmangr
• Sqlservr
• Ssms
• steam
• supervise
• sync-taskbar
• synctime
• sync-worker
• Sysmon
• Sysmon64
• SystemExplorer
• SystemExplorerService
• SystemExplorerService64
• SystemTrayIcon
• tbirdconfig
• tcpview
• tcpview64
• tcpview64a
• tdsskiller
• TeamViewer
• TeamViewer_Service
• thebat
• thunderbird
• TitanV
• tomcat6
• Totalcmd
• Totalcmd64
• tv_w32
• tv_x64
• VeeamDeploymentSvc
• visio
• vsnapvss
• vxmon
• wdswfsafe
• winword
• WireShark
• wordpad
• wsa_service
• wxServer
• wxServerView
• xfssvccon
• ZhuDongFangYu

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\40D9EB00167349

HKEY_CLASSES_ROOT\.lockbit

HKEY_CLASSES_ROOT\Lockbit

マルウェアは、以下を実行します。

• It retrieves the computer's default language and geoID, then terminates itself if any of the following languages or locations are found:
  • Azerbaijani (Cyrillic, Azerbaijan)
  • Azerbaijani (Latin, Azerbaijan)
  • Armenian (Armenia)
  • Belarusian (Belarus)
  • Georgian (Georgia)
  • Kazakh (Kazakhstan)
  • Kyrgyz (Kyrgyzstan)
  • Russian (Moldova)
  • Russian (Russia)
  • Tajik (Cyrillic, Tajikistan)
  • Turkmen (Turkmenistan)
  • Uzbek (Cyrillic, Uzbekistan)
  • Uzbek (Latin, Uzbekistan)
  • Ukrainian (Ukraine)
• It encrypts files found in the following drive types:
  • Fixed drive
  • Removable drive
  • Network drive
  • RAM Disks
• It enumerates printers in the network to print the ransom note.
• It retrieves connected machines in the network using LDAP queries.
• It performs a group policy update to connected machines for propagation and execution.
• It creates a scheduled task with random file name to execute the copied ransomware and terminate processes.
• It bypasses UAC to escalate its privileges on infected machines.
• It modifies the following files inside the SYSVOL folder for modification of group policies:
  • Registry.pol
  • comment.cmtx
  • NetworkShares.xml
  • Services.xml
  • ScheduledTasks.xml
• It pushes the following group policy updates to disable malware protection on queried machines:
  • [Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
  • [Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]
  • [Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
  • [Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]
  • [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
  • [Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]
• It drops copies of itself in the following directory of connected machines.
  • %Desktop%\{Random characters}.exe

(註：%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、以下のパラメータを受け取ります。

• {File Name or File Path to Encrypt} → if unspecified, the malware will infect all files except for the avoided ones.

マルウェアは、脆弱性を利用した感染活動を行いません。

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• bootsect.bak
• iconcache.db
• ntldr
• ntuser.dat.log
• Restore-My-Files.txt
• thumbs.db

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• all users
• appdata
• application data
• boot
• common files
• google
• intel
• internet explorer
• microsoft
• microsoft shared
• microsoft.net
• mozilla
• msbuild
• msocache
• opera
• perflogs
• system volume information
• tor browser
• windows
• windows journal
• windows nt
• windows.old

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .lockbit

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\LockBit_Ransomware.hta
  

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

• {Encrypted Directory}\Restore-My-Files.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .386
• .adv
• .ani
• .apk
• .app
• .bat
• .bin
• .cmd
• .com
• .cpl
• .cur
• .diagcab
• .diagcgf
• .diagpkg
• .dll
• .dmg
• .dmp
• .drv
• .exe
• .fnt
• .fon
• .gadget
• .hlp
• .hta
• .icns
• .ico
• .ics
• .idx
• .ini
• .ipa
• .iso
• .key
• .lnk
• .lock
• .lockbit
• .mod
• .mp3
• .mp4
• .mpa
• .msc
• .msi
• .msstyles
• .msp
• .msu
• .nls
• .ocx
• .otf
• .part
• .pif
• .prf
• .rdp
• .reg
• .rom
• .rtp
• .sfcache
• .shs
• .spl
• .sys
• .theme
• .tmp
• .ttf
• .wad
• .wav
• .wma
• .woff
• .wpx
• .xex

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• {ドライブレター}:\{ランダムな文字}.lock
• %System%\{ランダムな文字}.ico → 暗号化されたファイルに使用されるアイコン
• %User Temp%\{ランダムな文字}.tmp.bmp → 暗号化後に壁紙として使用される画像

その他

マルウェアは、以下を実行します。

• 感染コンピュータの既定の言語および geoID を取得し、以下の言語あるいは位置情報のいずれかを発見した場合、自身を終了します。
  • アゼルバイジャン語 (キリル文字表記、アゼルバイジャン)
  • アゼルバイジャン語 (ラテン文字表記、アゼルバイジャン)
  • アルメニア語 (アルメニア)
  • ベラルーシ語 (ベラルーシ)
  • グルジア語 (ジョージア)
  • カザフ語 (カザフスタン)
  • キルギス語 (キルギス)
  • ロシア語 (モルドバ)
  • ロシア語 (ロシア)
  • タジク語 (キリル文字表記、タジキスタン)
  • トルクメン語 (トルクメニスタン)
  • ウズベク語 (キリル文字表記、ウズベキスタン)
  • ウズベク語 (ラテン表記、ウズベキスタン)
  • ウクライナ語 (ウクライナ)
• 以下のドライブ内に存在するファイルを暗号化します。
  • 固定ドライブ
  • リムーバブルドライブ
  • ネットワークドライブ
  • RAMディスク
• ネットワーク内のプリンタを列挙して、脅迫文を印刷します。
• LDAPクエリを使って、ネットワーク内で接続されたコンピュータを取得します。
• 拡散活動および実行処理のために、接続されたコンピュータに対してグループポリシーの更新を行います。
• ランダムなファイル名を用いてスケジュールされたタスクを作成し、コピーとして作成されたランサムウェアを実行してプロセスを終了します。
• ユーザアカウント制御（UAC）をバイパスして、感染コンピュータ上での権限を昇格させます。
• グループポリシーを変更するために、SYSVOLフォルダ内に存在する以下のファイルを改ざんします。
  • Registry.pol
  • comment.cmtx
  • NetworkShares.xml
  • Services.xml
  • ScheduledTasks.xml
• 以下のグループポリシーの更新を追加（プッシュ）して、クエリを実行したコンピュータのウイルス対策を無効化します。
  • [Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
  • [Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]
  • [Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
  • [Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]
  • [Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
  • [Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]
• 接続されたコンピュータに存在する以下のディレクトリ内に自身のコピーを作成します。
  • %Desktop%\{ランダムな文字}.exe

マルウェアは、以下のパラメータを受け取ります。

• {暗号化するファイルの名前あるいはファイルパス} → 指定がない場合、マルウェアは回避対象ファイルを除くすべてのファイルに感染します。