Ransom.Win32.NOESCAPE.THFOEBC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のフォルダ内のファイルを暗号化します。 身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{Malware File Name}.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• wmic SHADOWCOPY DELETE /nointeractive
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
• wbadmin DELETE BACKUP -deleteOldest
• wbadmin DELETE BACKUP -keepVersions:0
• vssadmin Delete Shadows /All /Quiet
• bcdedit /set {default} recoveryenabled No
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• cmd /c wmic SHADOWCOPY DELETE /nointeractive
• cmd /c wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• cmd /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
• cmd /c wbadmin DELETE BACKUP -deleteOldest
• cmd /c wbadmin DELETE BACKUP -keepVersions:0
• cmd /c vssadmin Delete Shadows /All /Quiet
• cmd /c bcdedit /set {default} recoveryenabled No
• cmd /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
• cmd /c bcdedit /set safeboot network

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{GUID}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe,%Application Data%\[Malware File Name}.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

(註：変更前の上記レジストリ値は、「5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %Application Data%\wallpaper.jpg
  

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• Culserver
• DefWatch
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• QBCFMonitorService
• QBIDPService
• RTVscan
• SavRoam
• VMAuthdService
• VMUSBArbService
• VMnetDHCP
• VMwareHostd
• backup
• ccEvtMgr
• ccSetMgr
• dbeng8
• dbsrv12
• memtas
• mepocs
• msexchange
• msmdsrv
• sophos
• sql
• sqladhlp
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• svc$
• tomcat6
• veeam
• vmware-converter
• vmware-usbarbitator64
• vss

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 360doctor
• 360se
• Culture
• Defwatch
• GDscan
• MsDtSrvr
• QBCFMonitorService
• QBDBMgr
• QBIDPService
• QBW32
• RAgui
• RTVscan
• agntsvc
• agntsvcencsvc
• agntsvcisqlplussvc
• anvir
• anvir64
• apache
• axlbridge
• backup
• ccleaner
• ccleaner64
• dbeng50
• dbsnmp
• encsvc
• excel
• far
• fdhost
• fdlauncher
• httpd
• infopath
• isqlplussvc
• java
• kingdee
• msaccess
• msftesql
• mspub
• mydesktopqos
• mydesktopservice
• mysqld-nt
• mysqld-opt
• mysqld
• ncsvc
• ocautoupds
• ocomm
• ocssd
• onedrive
• onenote
• oracle
• outlook
• powerpnt
• procexp
• qbupdate
• sqbcoreservice
• sql
• sqlagent
• sqlbrowser
• sqlmangr
• sqlserver
• sqlservr
• sqlwriter
• steam
• supervise
• synctime
• taskkill
• tasklist
• tbirdconfig
• thebat
• thunderbird
• tomcat
• tomcat6
• u8
• ufida
• visio
• wdswfsafe
• winword
• wordpad
• wuauclt
• wxServer
• wxServerView
• xfssvccon

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer Name
• Host Name
• Machine GUID
• User Language
• OEM Information
• Disk Drive Information

その他

マルウェアは、以下を実行します。

• It empties Recycle Bin of all drives.
• It dismounts disk images found in the system by running these processes:
  
  • powershell Dismount-DiskImage -ImagePath {Full Path of Disk Image}
  • cmd /c powershell Dismount-DiskImage -ImagePath {Full Path of Disk Image}
• It is capable of rebooting the system into safe mode with networking.

マルウェアは、以下のパラメータを受け取ります。

• -safe (This parameter reboots the system into safe mode with networking before encrypting files).

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• {Exchange Install Path}\Mailbox
• %Program Files%\Microsoft SQL Server
• %Program Files%\Microsoft\Exchange Server
• %Program Files%\mysql

(註：%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• %Public%
• %ProgramData%
• %Program Files%
• %System Root%\Users\All Users
• %Windows%
• %Temp%
• %User Profile%\AppData
• %Application Data%

(註：%Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• AppData
• EFI
• Intel
• MSOCache
• Mozilla
• Program Files
• ProgramData
• Tor Browser
• Windows
• WINDOWS
• boot
• google
• perflogs
• system volume information
• windows.old

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .EACBHCJFI

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\HOW_TO_RECOVER_FILES.txt
• {File Path of Encrypted Files}\HOW_TO_RECOVER_FILES.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .exe
• .bat
• .bin
• .cmd
• .com
• .cpl
• .dat
• .dll
• .drv
• .hta
• .ini
• .lnk
• .lock
• .log
• .mod
• .msc
• .msi
• .msp
• .pif
• .prf
• .rdp
• .scr
• .shs
• .swp
• .sys
• .theme

<補足>
情報漏えい

マルウェアは、以下の情報を収集します。

• コンピュータ名
• ホスト名
• コンピュータのグローバル一意識別子（GUID）
• ユーザ言語
• OEM情報
• ディスクドライブの情報

その他

マルウェアは、以下を実行します。

• すべてのドライブのごみ箱を空にします。
• 以下のプロセスを実行することで、感染コンピュータ内で見つかったディスクイメージをマウント解除します。
  • powershell Dismount-DiskImage -ImagePath {ディスクイメージのフルパス}
  • cmd /c powershell Dismount-DiskImage -ImagePath {ディスクイメージのフルパス}
• ネットワークを用いて感染コンピュータをセーフモードで再起動する可能性があります。

マルウェアは、以下のパラメータを受け取ります。

• -safe （このパラメータは、ファイルを暗号化する前に、ネットワークを用いて感染コンピュータをセーフモードで再起動します）