Ransom.Win32.NOESCAPE.THHOCBC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{Malware Filename}.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• bcedit /deletevalue safeboot → removes safeboot
• wmic SHADOWCOPY DELETE /nointeractive → deletes shadowcopy without confirmation
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest → deletes oldest system state backup
• wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 → deletes all system backup versions
• wbadmin DELETE BACKUP -deleteOldest → deletes oldest backup
• wbadmin DELETE BACKUP -keepVersions:0 → deletes all backup versions
• vssadmin Delete Shadows /all /quiet → deletes all shadow copies without prompt
• bcedit /set {default} recoveryenabled No → disables automatic system recovery
• bcedit /set {default} bootstatuspolicy ignoreallfailures → enables system boot even with failures
• bcdedit /set safeboot network → restarts in safemode with network access

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe,%Application Data%\{malware filename}.exe → malware will run as explorer.exe after logon

他のシステム変更

マルウェアは、以下のレジストリキーを変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0 → turns off User Account Control (UAC)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0 → allows elevated operations without consent or credentials

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %Application Data%\wallpaper.jpg
  

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• Culserver
• DefWatch
• GxBlr
• GxCIMgr
• GxCVD
• GxFWD
• GxVss
• QBCFMonitorService
• QBIDPService
• RTVscan
• SavRoam
• VMAuthdService
• VMUSBArbService
• VMnetDHCP
• VMwareHostd
• backup
• ccEvtMgr
• ccSetMgr
• dbeng8
• dbsrv12
• memtas
• mepocs
• msexchange
• msmdsrv
• sophos
• sql
• sqladhlp
• sqlagent
• sqlbrowser
• sqlservr
• sqlwriter
• svc$
• tomcat6
• veeam
• vmware-converter
• vmware-usbarbitator64
• vss

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 360doctor
• 360se
• Culture
• Defwatch
• GDscan
• MsDtSrvr
• QBCFMonitorService
• QBDBMgr
• QBIDPService
• QBW32
• RAgui
• RTVscan
• agntsvc
• agntsvcencsvc
• agntsvcisqlplussvc
• anvir
• anvir64
• apache
• axlbridge
• backup
• ccleaner
• ccleaner64
• dbeng50
• dbsnmp
• encsvc
• excel
• far
• fdhost
• fdlauncher
• httpd
• infopath
• isqlplussvc
• java
• kingdee
• msaccess
• msftesql
• mspub
• mydesktopqos
• mydesktopservice
• mysqld-nt
• mysqld-opt
• mysqld
• ncsvc
• ocautoupds
• ocomm
• ocssd
• onedrive
• onenote
• oracle
• outlook
• powerpnt
• procexp
• qbupdate
• sqbcoreservice
• sql
• sqlagent
• sqlbrowser
• sqlmangr
• sqlserver
• sqlservr
• sqlwriter
• steam
• supervise
• synctime
• taskkill
• tasklist
• tbirdconfig
• thebat
• thunderbird
• tomcat
• tomcat6
• u8
• ufida
• visio
• wdswfsafe
• winword
• wordpad
• wuauclt
• wxServer
• wxServerView
• xfssvccon
• vmcompute
• vmwp
• vmms
• vds

情報漏えい

マルウェアは、以下の情報を収集します。

• Hostname
• System Boot Information
• Username

その他

マルウェアは、以下のパラメータを受け取ります。

• -safe → reboots the system in safe mode before encryption

ランサムウェアの不正活動

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• AppData
• boot
• EFI
• google
• Intel
• Mozilla
• MSOCache
• perflogs
• Program Files
• ProgramData
• system volume information
• Tor Browser
• WINDOWS
• windows.old

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• %All Users Profile%
• %Program Files%
• %ProgramData%
• %Public%
• %Temp%
• %User Profile%\AppData
• %Windows%

(註：%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• {Original filename}.{Original extension}.EACBHCJFI

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\HOW_TO_RECOVER_FILES.txt
• {All encrypted directories}\HOW_TO_RECOVER_FILES.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• bat
• bin
• cmd
• com
• cpl
• dat
• dll
• drv
• exe
• hta
• ini
• lnk
• lock
• log
• mod
• msc
• msi
• msp
• pif
• prf
• rdp
• scr
• shs
• swp
• sys
• theme