Ransom.Win32.NOESCAPE.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のフォルダ内にあるファイルを削除します。これにより、該当プログラムおよびアプリケーションが正しく実行されなくなります。

マルウェアは、アカウントを追加し管理者権限を取得します。これにより、感染コンピュータは、マルウェアまたは不正リモートユーザによるさらなる脅威にさらされることとなります。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• Used to change default account picture:
  • %ProgramData%\Microsoft\User Account Pictures\user.bmp
  • %ProgramData%\Microsoft\User Account Pictures\user.png
  • %ProgramData%\Microsoft\User Account Pictures\user-32.png
  • %ProgramData%\Microsoft\User Account Pictures\user-40.png
  • %ProgramData%\Microsoft\User Account Pictures\user-48.png
  • %ProgramData%\Microsoft\User Account Pictures\user-192.png
• Used to change desktop wallpaper
  • %AppDataLocal%\noescape.png

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Windows%\winnt32.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のプロセスを追加します。

• %System%\notepad.exe
• %System%\cmd.exe
• %System%\mspaint.exe
• %System%\taskmgr.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• processLimit
• processLimitPayLoad

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe,%Windows%\winnt32.exe → to execute malware copy during Windows logon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile\shell\open\
command
(Default) = %Windows%\winnt32.exe "%1" %* → if malware copy is existing

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile\shell\runas\
command
(Default) = %Windows%\winnt32.exe "%1" %* → if malware copy is existing

他のシステム変更

マルウェアは、以下のフォルダ内にあるファイルを削除します。

• %ProgramData%\Microsoft\User Account Pictures
• %Desktop%
• %Public%\Desktop

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
AutoAdminLogon = 1 → enable automatic logon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
DisableCAD = 1 → disable Secure Attention Sequence

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
shutdownwithoutlogon = 0 → disable the shutdown button in the log on to Windows dialog box

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
UseDefaultTile = 1 → apply the default account picture to all users

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableLogonBackgroundImage = 1 → disable sign-in background image

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Keyboard Layout
Scancode Map = → disable selected keyboard keys

HKEY_CURRENT_USER\Control Panel\Mouse
SwapMouseButtons = 1 → swap mouse buttons

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0 → disables User Account Control (UAC)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1 → disables Windows registry editors

HKEY_CURRENT_USER\SOFTWARE\Policies\
Microsoft\Windows\System
DisableCMD = 2 → disable command line

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
AutoRestartShell = 0 → disables rebooting of explorer.exe

HKEY_CURRENT_USER\Control Panel\Desktop
AutoColorization = 1 → automatically pick an accent color from desktop background

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Shell\Bags\1\
Desktop
FFLags = → to randomly rearrange desktop icons

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
NoEscape
ShowWindow =

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %AppDataLocal%\noescape.png
  

その他

マルウェアは、管理者グループに以下のアカウントを追加します。

• NO ESCAPE

マルウェアは、以下を実行します。

• It only proceeds to its encryption routine if it is executed in a Windows NT 10.0 OS.
  • It prompts the following message box if not executed in a Windows NT 10.0 OS.
  
  
• It prompts the following message box before encryption:
  
• It adds user accounts with random usernames.
• It adds user accounts to the following local groups:
  • Administrators
  • Users
• It changes the user name to the following:
  • NO ESCAPE
• It changes the user password to the following:
  • death
• If the malware copy is existing:
  • It displays the following window:
    
  • It terminates itself if window is closed.
  • It stretches the bitmap of the desktop and running windows.
• It prompts the following message box when executable files are opened:
  
• It terminates explorer.exe to hide taskbar.
• It randomly rearranges desktop icons.
• It blocks user input.
• It controls the system's keyboard activity to type the following on notepad.exe:
  
  • It waits for the user to enter 'yes' on notepad and then proceeds on opening the following processes:
  • %System%\cmd.exe
  • %System%\mspaint.exe
  • %System%\taskmgr.exe
• It enables automatic logon.
• It disables Ctrl+Alt+Delete keystroke combination.
• It disables the shutdown button in the log on to Windows dialog box.
• It changes the default account picture to the following images:
  
• It disables sign-in background image.
• It enables selected keyboard keys.
• It swaps mouse buttons.
• It disables User Account Control (UAC).
• It disables Windows registry editors.
• It disables command line.
• It disables rebooting of explorer.exe.
• It automatically picks an accent color from desktop background
• It executes malware copy during Windows logon.
• It deletes itself after execution.
• It restarts the machine after execution.
• It prompts the following message box when executable files are opened:
  

ランサムウェアの不正活動

マルウェアが作成する以下のファイルは、脅迫状です。

• %Public%\Desktop\{random} → multiple copies