Ransom.Win32.PHOBOS.YXCCW

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %AppDataLocal%\{Malware name}
• %Common Startup%\{Malware name}
• %User Startup%\{Malware name}

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %Common Startup%フォルダは、すべてのユーザのスタートアップフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" です。また、Windows Vista、7、8の場合、通常 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" です。. %User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

マルウェアは、以下のファイルを作成します。

• if config exists:
  %AppDataLocal%\config
  %User Startup%\config
  %Common Startup%\config

(註：%Common Startup%フォルダは、すべてのユーザのスタートアップフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" です。また、Windows Vista、7、8の場合、通常 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe
• netsh advfirewall set currentprofile state off
• vssadmin delete shadows /all /quiet
• netsh firewall set opmode mode=disable
• wmic shadowcopy delete
• bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit /set {default} recoveryenabled no
• wbadmin delete catalog -quiet
• "%System%\mshta.exe" "%Desktop%\info.hta"
• "%System%\mshta.exe" "%Public%\desktop\info.hta"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\<<BID>>{Volume Serial Number}{random number}

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware name} = %AppDataLocal%\{Malware name} = %AppDataLocal%\{Malware name}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware name} = %AppDataLocal%\{Malware name}

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• mydesktopqos.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• info.hta
• info.txt
• boot.ini
• bootfont.bin
• ntldr
• ntdetect.com
• io.sys
• config
• {Malware name}

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• %Windows%
• %ProgramData%\microsoft\windows\caches

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .id[{Volume Serial Number}-{Generated ID}].[{BLOCKED}on@cock.li].Devos

マルウェアが作成する以下のファイルは、脅迫状です。

• %Public%\desktop\info.hta
• %Desktop%\info.hta
  
• %Public%\desktop\info.txt
• %Desktop%\info.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• Devos
• actin
• DIKE
• Acton
• actor
• Acuff
• FILE
• Acuna
• acute
• adage
• Adair
• Adame
• banhu
• banjo
• Banks
• Banta
• Barak
• Caleb
• Cales
• Caley
• calix
• Calle
• Calum
• Calvo
• deuce
• Dever
• devil
• Devoe
• Devon
• Devos
• dewar
• eight
• eject
• eking
• Elbie
• elbow
• elder
• phobos
• help
• blend
• bqux
• com
• mamba
• KARLOS
• DDoS
• phoenix
• PLUT
• karma
• bbc
• CAPITAL
• WALLET
• LKS
• tech
• s1g2n3a4l
• MURK
• makop
• ebaka
• jook
• LOGAN
• FIASKO
• GUCCI
• decrypt
• OOH
• Non
• grt
• LIZARD