Ransom.Win32.PHOBOS.SMYXCCW

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %AppDataLocal%\{Malware file name}.exe

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe"
• vssadmin delete shadows /all /quiet
• netsh advfirewall set currentprofile state off
• netsh firewall set opmode mode=disable
• wmic shadowcopy delete
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit /set {default} recoveryenabled no
• wbadmin delete catalog -quiet
• "%System%\mshta.exe" "%Desktop%\info.hta"
• "%System%\mshta.exe" "%Public%\desktop\info.hta"
• "%System%\mshta.exe" "{Drive Letter}\info.hta"
• {Malware Path}\{Malware Filename}.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\<>{Volume Serial number}00000000
• Global\<>{Volume Serial number}00000001

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Filename} = %AppDataLocal%\{Malware Filename}.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Filename} = %AppDataLocal%\{Malware Filename}.exe

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\{Malware Filename}.exe

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• mydesktopqos.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• agntsvc.exe
• agntsvc.exe
• agntsvc.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe

その他

マルウェアは、以下を実行します。

• It scans specific database related file extensions:
  • fdb
  • sql
  • 4dd
  • 4dl
  • abs
  • abx
  • accdb
  • accdc
  • accde
  • adb
  • adf
  • ckp
  • db
  • db-journal
  • db-shm
  • db-wal
  • db2
  • db3
  • dbc
  • dbf
  • dbs
  • dbt
  • dbv
  • dcb
  • dp1
  • eco
  • edb
  • epim
  • fcd
  • gdb
  • mdb
  • mdf
  • ldf
  • myd
  • ndf
  • nwdb
  • nyfs
  • qlitedb
  • sqlite3
  • sqlite
• It creates an anonymous pipe.
• Checks if the malware is executed in the following folder:
  • {Malware file path}\admen

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• info.hta
• info.txt
• boot.ini
• bootfont
• bin
• ntldr
• ntdetect.com
• io.sys
• admen
• {Malware Filename}.exe

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• %Windows%
• %ProgramData%\Microsoft\Windows\Caches

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• id[{Volume Serial Number}].[{BLOCKED}rypt@gmail.com ].faust

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\info.hta
• %Public%\Desktop\info.hta
• {Drive Letter}\info.hta
  

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

• %Desktop%\info.txt
• %Public%\Desktop\info.txt
• {Drive Letter}\info.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• faust
• actin
• dike
• acton
• actor
• acuff
• file
• acuna
• fullz
• mmxxii
• kmrox
• 6y8dghklp
• shtorm
• nurri
• ghostff
• 6om6
• mnx
• backjohn
• own
• fs23
• 2qz3
• top
• blackrock
• chcrbo
• g-stars
• faust
• unknown
• steel
• worry
• win
• duck
• fopra
• unique
• acute
• adage
• make
• adair
• mlf
• magic
• adame
• banhu
• banjo
• banks
• banta
• barak
• caleb
• cales
• caley
• calix
• calle
• calum
• calvo
• deuce
• dever
• devil
• devoe
• devon
• devos
• dewar
• eight
• eject
• eking
• elbie
• elbow
• elder
• phobos
• help
• blend
• bqux
• com
• mamba
• karlos
• ddos
• phoenix
• plut
• karma
• bbc
• capital
• wallet
• lks
• tech
• s1g2n3a4l
• murk
• makop
• ebaka
• jook
• logan
• fiasko
• gucci
• decrypt
• ooh
• non
• grt
• lizard
• flscrypt
• sdk
• 2023
• vhdv

<補足>
その他

マルウェアは、以下を実行します。

• 特定のデータベースに関連するファイル拡張子をスキャンします。
  • fdb
  • sql
  • 4dd
  • 4dl
  • abs
  • abx
  • accdb
  • accdc
  • accde
  • adb
  • adf
  • ckp
  • db
  • db-journal
  • db-shm
  • db-wal
  • db2
  • db3
  • dbc
  • dbf
  • dbs
  • dbt
  • dbv
  • dcb
  • dp1
  • eco
  • edb
  • epim
  • fcd
  • gdb
  • mdb
  • mdf
  • ldf
  • myd
  • ndf
  • nwdb
  • nyfs
  • qlitedb
  • sqlite3
  • sqlite
• 匿名パイプを作成します。
• マルウェアが以下のフォルダ内で実行されているかどうかを確認します。
  • {マルウェアのファイルパス}\admen