Ransom.Win32.LOCKBIT.EOE

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\WwN7pp6z3.ico → icon used for all encrypted files.
• %ProgramData%\WwN7pp6z3.bmp → image to set as system wallpaper after encryption.

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のプロセスを追加します。

• bcdedit /set {current} safeboot network → if -safe commandline parameter is used

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{Generated Hash}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce → if -safe commandline parameter is used
{Random Characters} = {Malware Path}\{Malware File Name}

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.WwN7pp6z3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
WwN7pp6z3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
WwN7pp6z3\DefaultIcon

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.WwN7pp6z3
(Defaut) = WwN7pp6z3

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
WwN7pp6z3\DefaultIcon
(Defaut) = %ProgramData%\WwN7pp6z3.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon → if -safe commandline parameter is used
AutoAdminLogon = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon → if -safe commandline parameter is used
DefaultUserName = Administrator

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon → if -safe commandline parameter is used
DefaultDomainName = {Computer Domain Name}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
WwN7pp6z3 → if -safe commandline parameter is used
hScreen = {screen height}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
WwN7pp6z3 → if -safe commandline parameter is used
wScreen = {screen width}

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
WallPaper = %ProgramData%\WwN7pp6z3.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 10

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• backup
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• memtas
• mepocs
• msexchange
• sophos
• sql
• svc$
• veeam
• vss

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc
• calc
• dbeng50
• dbsnmp
• encsvc
• excel
• firefox
• infopath
• isqlplussvc
• msaccess
• mspub
• mydesktopqos
• mydesktopservice
• notepad
• ocautoupds
• ocomm
• ocssd
• onedrive
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• sql
• steam
• synctime
• tbirdconfig
• thebat
• thunderbird
• visio
• winword
• wordpad
• wuauclt
• xfssvccon

その他

マルウェアは、以下を実行します。

• If not executed with admin rights, it will attempt to relaunch itself as admin by elevating its privileges via bypassing UAC
• It encrypts fixed, removable and network shares
• It deletes files in recycle bin folder for removable and fixed drives
• It uses WQL to delete shadow copies
• It renames itself 26 times before deleting itself after encryption
• It has the capability to print the ransom note in infected machines
• It terminates if the machine has the following system language:
  • Arabic (Syria)
  • Armenian (Armenia)
  • Azerbaijani (Cyrillic Azerbaijan)
  • Azerbaijani (Latin Azerbaijan)
  • Belarusian (Belarus)
  • Georgian (Georgia)
  • Kazakh (Kazakhstan)
  • Kyrgyz (Kyrgyzstan)
  • Russian (Moldova)
  • Russian (Russia)
  • Tajik (Cyrillic Tajikistan)
  • Tatar (Russia) Romanian (Moldova)
  • Turkmen (Turkmenistan)
  • Ukranian (Ukraine)
  • Uzbek (Cyrillic Uzbekistan)
  • Uzbek (Latin Uzbekistan)
• It deletes the following services:
  • WdBoot
  • WdFilter
  • WdNisDrv
  • WdNisSvc
  • WinDefend
  • wscsvc
  • sppsvc
  • Sense
  • SecurityHealthService
• It changes the encrypted file icon to the following image:
  
• It avoids encrypting files with the following file extensions:
  • 386
  • adv
  • ani
  • bat
  • bin
  • cab
  • cmd
  • com
  • cpl
  • cur
  • deskthemepack
  • diagcab
  • diagcfg
  • diagpkg
  • dll
  • drv
  • exe
  • hlp
  • hta
  • icl
  • icns
  • ico
  • ics
  • idx
  • key
  • ldf
  • lnk
  • lock
  • mod
  • mpa
  • msc
  • msi
  • msp
  • msstyles
  • msu
  • nls
  • nomedia
  • ocx
  • pdb
  • prf
  • ps1
  • rom
  • rtp
  • scr
  • search-ms
  • shs
  • spl
  • sys
  • theme
  • themepack
  • wpx

マルウェアは、以下のパラメータを受け取ります。

• -safe →Reboots in safeboot, then encrypts the user's machine
• -wall → Changes system Wallpaper and Print ransom note on printers then deletes itself after renaming for 26 times.
• -path {target} → Specifically encrypt the target, can be file or folder
• -gspd → Perform Group Policy Modification for Lateral Movement
• -psex → Lateral Movement via Admin Shares
• -gdel → Delete group policy updates
• -del → Deletes itself after renaming for 26 times.

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• bootfont.bin
• bootsect.bak
• d3d9caps.dat
• desktop.ini
• GDIPFONTCACHEV1.DAT
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• all users
• boot
• config.msi
• default
• intel
• microsoft
• msocache
• perflogs
• program files
• program files (x86)
• programdata
• public
• system volume information
• tor browser
• windows
• windows.old
• x64dbg

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Random Characters}.WwN7pp6z3

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\WwN7pp6z3.README.txt
  

＜補足＞
インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\WwN7pp6z3.ico → 暗号化された全てのファイルに使用されるアイコン
• %ProgramData%\WwN7pp6z3.bmp → 暗号化後にコンピュータの壁紙として設定される画像

マルウェアは、以下のプロセスを追加します。

• bcdedit /set {カレント} safeboot network → コマンドラインパラメータ「-safe」が使用された場合

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{生成されたハッシュ}

その他

マルウェアは、以下を実行します。

• 管理者権限で実行されない場合、ユーザアカウント制御（UAC）をバイパスして権限を昇格させ、管理者として自身を再起動しようと試みます。
• 固定ドライブ、リムーバブルドライブ、ネットワークドライブを暗号化します。
• リムーバブルおよび固定ドライブに存在するごみ箱フォルダ内のファイルを削除します。
• WMI クエリ言語（WQL）を用いてシャドウコピーを削除します。
• 暗号化後、自身を削除するまでに26回名称を変更します。
• 感染コンピュータ内に身代金要求文書（脅迫状）を表示する機能を備えています。
• 感染コンピュータ内に以下のシステム言語が存在する場合、強制終了します。
  • アラビア語（シリア）
  • アルメニア語（アルメニア）
  • アゼルバイジャン語（キリル文字表記、アゼルバイジャン）
  • アゼルバイジャン語（ラテン文字表記、アゼルバイジャン）
  • ベラルーシ語（ベラルーシ）
  • グルジア語（ジョージア）
  • カザフ語 （カザフスタン）
  • キルギス語（キルギス）
  • ロシア語（モルドバ）
  • ロシア語（ロシア）
  • タジク語 （キリル文字表記、タジキスタン）
  • タタール語（ロシア）
  • ルーマニア語（モルドバ）
  • トルクメン語 （トルクメニスタン）
  • ウクライナ語（ウクライナ）
  • ウズベク語（キリル文字表記、ウズベキスタン）
  • ウズベク語（ラテン文字表記、ウズベキスタン）
• 以下のサービスを削除します。
  • WdBoot
  • WdFilter
  • WdNisDrv
  • WdNisSvc
  • WinDefend
  • wscsvc
  • sppsvc
  • Sense
  • SecurityHealthService
• 暗号化されたファイルのアイコンを以下の画像に変更します。
  

マルウェアは、以下のパラメータを受け取ります。

• -safe → セーフモードで再起動した後、感染コンピュータを暗号化する
• -wall → コンピュータの壁紙を変更し、プリンターで身代金要求文書（脅迫状）を印刷した後、26回名称を変更し、自身を削除する
• -path {標的} → 標的を暗号化する。ファイル及びフォルダが対象となります。
• -gspd → 横展開のためにグループポリシーの変更を行う
• -psex → 管理共有を介して横展開する
• -gdel → グループポリシーの更新を削除する
• -del → 26回名称を変更した後、自身を削除する