Ransom.Win32.MIMIC.SMZTJJ-A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {All affected directories}\Decrypt_me.txt
• %User Temp%\session.tmp
• %AppDataLocal%\{GUID}\bestplacetolive.exe
• %AppDataLocal%\{GUID}\session.tmp
• %User Temp%\{random letters}.{random letters}.ps1
• %User Temp%\{random letters}.{random letters}.psm1
• %AppDataLocal%\{GUID}\Everything32.dll

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のプロセスを追加します。

• "%AppDataLocal%\{GUID}\bestplacetolive.exe"
• "%AppDataLocal%\{GUID}\bestplacetolive.exe" -e watch -pid {PID of bestplacetolive.exe} -!
• "%AppDataLocal%\{GUID}\bestplacetolive.exe" -e ul1
• "%AppDataLocal%\{GUID}\bestplacetolive.exe" -e ul2
• powercfg.exe -H off
• powercfg.exe -SETACVALUEINDEX {Power scheme GUID} {GUID Subgroup} {GUID Setting 1} 0
• powercfg.exe -SETACVALUEINDEX {Power scheme GUID} {GUID Subgroup} {GUID Setting 2} 0
• powercfg.exe -SETACVALUEINDEX {Power scheme GUID} {GUID Subgroup} {GUID Setting 3} 0
• powercfg.exe -SETDCVALUEINDEX {Power scheme GUID} {GUID Subgroup} {GUID Setting 1} 0
• powercfg.exe -SETDCVALUEINDEX {Power scheme GUID} {GUID Subgroup} {GUID Setting 2} 0
• powercfg.exe -SETDCVALUEINDEX {Power scheme GUID} {GUID Subgroup} {GUID Setting 3} 0
• powercfg.exe -SETACVALUEINDEX {Power scheme GUID 2} {GUID Subgroup} {GUID Setting 1} 0
• powercfg.exe -SETACVALUEINDEX {Power scheme GUID 2} {GUID Subgroup} {GUID Setting 2} 0
• powercfg.exe -SETACVALUEINDEX {Power scheme GUID 2} {GUID Subgroup} {GUID Setting 3} 0
• powercfg.exe -SETDCVALUEINDEX {Power scheme GUID 2} {GUID Subgroup} {GUID Setting 1} 0
• powercfg.exe -SETDCVALUEINDEX {Power scheme GUID 2} {GUID Subgroup} {GUID Setting 2} 0
• powercfg.exe -SETDCVALUEINDEX {Power scheme GUID 2} {GUID Subgroup} {GUID Setting 3} 0
• powercfg.exe -S {Power scheme GUID}
• powercfg.exe -S {Power scheme GUID 2}
• powershell.exe -ExecutionPolicy Bypass "Get-VM | Stop-VM"
• powershell.exe -ExecutionPolicy Bypass "Get-VM | Select-Object vmid | Get-VHD | %{Get-DiskImage -ImagePath $_.Path; Get-DiskImage -ImagePath $_.ParentPath} | Dismount-DiskImage"
• powershell.exe -ExecutionPolicy Bypass "Get-Volume | Get-DiskImage | Dismount-DiskImage"
• cmd.exe /c DC.exe /D

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のフォルダを作成します。

• %AppDataLocal%\{GUID}
• %System Root%\temp

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• iitiitLavvoiteaieii

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
bestplacetolive = "%AppDataLocal%\{GUID}\bestplacetolive.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\VSS
Start = 4

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\SDRSVC
Start = 4

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\wbengine
Start = 4

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
shutdownwithoutlogon = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
LongPathsEnabled = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
DataCollection
AllowTelemetry = 0

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(註：変更前の上記レジストリ値は、「5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorUser = 0

(註：変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
PromptOnSecureDesktop = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
UNCAsIntranet = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
ZoneMap
AutoDetect = 1

(註：変更前の上記レジストリ値は、「0」となります。)

マルウェアは、以下のレジストリ値を削除します。

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows
System = DisableCMD

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows
System = DisableCMD

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ZoneMap = ProxyBypass

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
ZoneMap = ProxyBypass

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ZoneMap = IntranetName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
ZoneMap = IntranetName

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• agntsvc.exe
• autodeskDesktopApp.exe
• axlbridge.exe
• bedbh.exe
• benetns.exe
• bengien.exe
• beserver.exe
• CoreSync.exe
• Creative Cloud.exe
• dbeng50.exe
• dbsnmp.exe
• encsvc.exe
• EnterpriseClient.exe
• fbguard.exe
• fbserver.exe
• fdhost.exe
• fdlauncher.exe
• httpd.exe
• isqlplussvc.exe
• java.exe
• msaccess.exe
• MsDtSrvr.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld-nt.exe
• mysqld-opt.exe
• mysqld.exe
• node.exe
• ocautopds.exe
• ocomm.exe
• ocssd.exe
• oracle.exe
• pvlsvr.exe
• python.exe
• QBDBMgr.exe
• QBDBMgrN.exe
• QBIDPService.exe
• qbupdate.exe
• QBW32.exe
• QBW64.exe
• Raccine.exe
• Raccine_x86.exe
• RaccineElevatedCfg.exe
• RaccineSettings.exe
• RAgui.exe
• raw_agent_svc.exe
• SimplyConnectionManager.exe
• sqbcoreservice.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlmangr.exe
• Sqlservr.exe
• sqlwriter.exe
• Ssms.exe
• Sysmon.exe
• Sysmon64.exe
• tbirdconfig.exe
• tomcat6.exe
• VeeamDeploymentSvc.exe
• vsnapvss.exe
• vxmon.exe
• wdswfsafe.exe
• wpython.exe
• wsa_service.exe
• wxServer.exe
• wxServerView.exe
• xfssvccon.exe

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
Image File Execution Options = {list of processes to be terminated}

HKEY_LOCAL_MACHINE\SOFTWARE
Classes = mimicfile

HKEY_LOCAL_MACHINE\SOFTWARE
Classes = .QUIETPLACE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
HidePowerOptions = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
HidePowerOptions = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoClose = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
StartMenuLogOff = 1

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

• Everything32.dll

マルウェアは、以下を実行します。

• Collecting system information
• Creating persistence via the RUN key
• Bypassing User Account Control (UAC)
• Disabling Windows Defender
• Disabling Windows telemetry
• Activating anti-shutdown measures
• Activating anti-kill measures
• Unmounting Virtual Drives
• Terminating processes and services
• Disabling sleep mode and shutdown of the system
• Removing indicators
• Inhibiting System Recovery

マルウェアは、以下のパラメータを受け取ります。

• -dir → directory for encryption
• -e all → encrypt all (default)
• -e Local → encrypt local files
• -e net → encrypt files on network shares
• -e watch
• -e ul1 → unlock certain memory addresses from another process
• -e ul2 → unlock certain memory addresses from another process
• -prot → protects the ransomware from being killed
• -pid → process identifier (PID) of the previously-running ransomware.

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• restore-my-files.txt
• boot.ini
• bootfont.bin
• desktop.ini
• iconcache.db
• io.sys
• ntdetect.com
• ntldr
• ntuser.dat
• ntuser.ini
• thumbs.db
• session.tmp
• decrypt_me.txt
• bestplacetolive.exe

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• cache
• boot
• chrome
• firefox
• mozilla
• Opera
• intel
• msbuild
• tmp
• temp
• windows
• winnt

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .QUIETPLACE

マルウェアが作成する以下のファイルは、脅迫状です。

• Decrypt_me.txt