Ransom.Win32.NEMTY.THBOCBO

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• cmd.exe/c vssadmin resize shadowstorage /for=A: /on=A: /maxsize=401MB;
• cmd.exe/c vssadmin resize shadowstorage /for=A: /on=A: /maxsize=unbounded;
• cmd.exe/c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=401MB;
• cmd.exe/c vssadmin resize shadowstorage /for=C: /on=C: /maxsize=unbounded;
• cmd.exe/c vssadmin resize shadowstorage /for=D: /on=D: /maxsize=401MB;
• cmd.exe/c vssadmin resize shadowstorage /for=D: /on=D: /maxsize=unbounded;
• cmd.exe/c vssadmin resize shadowstorage /for=F: /on=F: /maxsize=401MB;
• cmd.exe/c vssadmin resize shadowstorage /for=F: /on=F: /maxsize=unbounded;
• "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -e {Base64 command};
• cmd.exe/c "{User Profile}\NEMTY_{7 random characters}-DECRYPT.txt";

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\NEMTY
fid = "_NEMTY_{7 random characters}_"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
daite drobovik = {Malware Name}.exe

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• DbxSvc
• OracleXETNSListener
• OracleServiceXE
• AcrSch2Svc
• AcronisAgent
• Apache2.4
• SQLWriter
• MSSQL$SQLEXPRESS
• MSSQLServerADHelper100
• MongoDB
• SQLAgent$SQLEXPRESS
• SQLBrowser
• CobianBackup11
• cbVSCService11

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• sql
• winword
• wordpad
• outlook
• thunderbird
• oracle
• excel
• onenote
• virtualboxvm

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\NEMTY

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• www.myexternalip.com
• http://api.db-ip.com/v2/free/{external ip}/countryName
• It terminates itself if the location of the IP address is any of the following:
  • Russia
  • Belarus
  • Kazakhstan
  • Tajikistan
  • Ukraine
  • Azerbaijan
  • Armenia
  • Kyrgyzstan
  • Moldova

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• https://{BLOCKED}y10.hk/public/gate.php?data={configuration}

マルウェアは、以下を実行します。

• It encrypts files in fixed, removable, and network drives.
• It will not proceed with its routine if found not running on any of the following:
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows XP

ランサムウェアの不正活動

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• windows
• $RECYCLE.BIN
• rsa
• NTDETECT.COM
• ntldr
• MSDOS.SYS
• IO.SYS
• boot.ini
• AUTOEXEC.BAT
• ntuser.dat
• desktop.ini
• CONFIG.SYS
• RECYCLER
• BOOTSECT.BAK
• bootmgr
• programdata
• appdata
• Common Files
• TorDir
• Program Files

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .NEMTY_{7 random characters}

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

• {Encrypted Directory}\NEMTY_{7 random characters}-DECRYPT.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .lnk
• .exe
• .log
• .cab
• .cmd
• .com
• .cpl
• .exe
• .ini
• .dll
• .url
• .ttf
• .pif