Ransom.Win32.MATRIX.AD

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• {Malware Path}\{random characters}.exe

マルウェアは、以下のファイルを作成します。

• {Malware Path}\ALL_CrDfLDmp.tmp
• {Malware Path}\log.txt
• %Application Data%\{random characters}.bmp → used as wallpaper
• %Application Data%\{random characters}.bat → contains commands to remove volume shadow copies and disable system recovery
• %Application Data%\{random characters}.vbs → contains commands to create scheduled task
• {Malware Path}\{random characters}.exe → used for file handle manipulation
• {Malware Path}\{random characters}.bat → contains commands to take ownership of a file

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• {Malware Path}\{8 random characters}.exe -n → if run without argument

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• MutexSCR → if run without argument
• MutexSCRDONW → if run with argument

他のシステム変更

マルウェアは、以下のファイルを削除します。

• %Application Data%\{random characters}.vbs
• %Application Data%\{random characters}.bat

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{random characters}.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 0

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://mai-hoand.{BLOCKED}hostapp.com/addrecord.php?apikey={key}&compuser={computer name}|{username}&sid={sid}&phase=START

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .mdf
• .ndf
• .ldf
• .myd
• .eql
• .sql
• .vhd
• .sqlite
• .sqlite3
• .sqlitedb
• .hwp
• .hwt
• .hml
• .hwdt
• .hwpx
• .cell
• .nxl
• .hcdt
• .nxts
• .how
• .hpt
• .hsdt
• .xlsx
• .xls
• .docx
• .doc
• .dot
• .dotx
• .odt
• .ods
• .bak
• .tib
• .dbs
• .db
• .dbk
• .db2
• .db3
• .dbc
• .dt
• .dbs
• .dbf
• .dbx
• .mdb
• .sdf
• .ndf
• .ns2
• .ns3
• .ns4
• .nsf
• .accdb
• .vpd
• .dwg
• .cdr
• .pdf
• .jpg
• .jpeg
• .psd
• .zip
• .rar
• .7z
• .tar
• .gz

マルウェアは、以下のパラメータを受け取ります。

• -n

ランサムウェアの不正活動

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• WINDOWS SIDEBAR
• WINDOWS MEDIA PLAYER
• DVD MAKER
• WINDOWSPOWERSHELL
• WINDOWSDEFENDER
• TORBROWSER
• ASPNET_CLIENT
• REFERENCE ASSEMBLIES
• MICROSOFT\PROVISIONING
• MICROSOFT SILVERLIGHT
• PROGRAMDATA\MICROSOFT
• MICROSOFT\CRYPTO
• WINDOWSAPPS
• 7-ZIP
• WINRAR
• ESET
• AVAST
• MALWAREBYTES
• SYMANTEC ENDPOINT
• TREND MICRO
• BITDEFENDER
• PANDA SECURITY
• MCAFEE
• GAMMA08
• WINDOWS
• WINDOWS.OLD
• WINDOWS10UPGRADE
• $RECYCLE.BIN
• WINDOWS NT
• COMMON FILES
• TEMP
• BOOT
• MSOCACHE
• DEFAULT USER
• FILES\ACRONIS
• (X86)\ACRONIS
• FILES\BACKUPCLIENT
• (X86)\BACKUPCLIENT
• FILES\BACKUPMANAGER
• (X86)\BACKUP MANAGER
• FILES\CARBONITE
• (X86)\CARBONITE
• FILES\GOOGLE\DRIVE
• (X86)\GOOGLE\DRIVE
• FILES\DROPBOX
• (X86)\DROPBOX
• FILES\MICROSOFT ONEDRIVE
• (X86)\MICROSOFT ONEDRIVE
• FILES\ONEDRIVE
• (X86)\ONEDRIVE
• VNC
• INTERNET EXPLORER
• MICROSOFT\OFFICE
• MICROSOFT OFFICE
• KASPERSKY LAB
• KASPERSKYLAB
• AVDEFENDER
• SOPHOS
• AVG

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• [SecurCyber@yahoo.com].{8 random characters}-{8 random characters}.SCR

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

• {Encrypted Directory}\#SCR_INFO#.rtf