Ransom.Win32.WANNAREN.YPCJK

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• sqlbrowser.exe
• sqlwriter.exe
• sqlservr.exe
• msmdsrv.exe
• MsDtsSrvr.exe
• sqlceip.exe
• fdlauncher.exe
• Ssms.exe
• sqlserv.exe
• oracle.exe
• ntdbsmgr.exe
• ReportingServecesService.exe
• fdhost.exe
• SQLAGENT.exe
• ReportingServicesService.exe
• msftesql.exe
• pg_ctl.exe
• postgres.exe
• UniFi.exe
• sqlagent.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• mydesctopservice.exe
• ocautoupds.exe
• agntsvc.exe
• agntsvc.exe
• agntsvc.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• notepad.exe
• veeam.backup.agent.configurationservice.exe
• veeam.backup.brokerservice.exe
• veeam.backup.catalogdataserviceexe
• veeam.backup.cloudservice.exe
• veeam.backup.externalinfrastructure.dbprovider.exe
• veeam.backup.manager.exe
• veeam.backup.mountservice.exe
• veeam.backup.service.exe
• veeam.backup.uiserver.exe
• veeam.backup.wmiserver.exe
• veeamdeploymentsvc.exe
• veeamfilesysvsssvc.exe
• veeam.guest.interaction.proxy.exe
• veeamnfssvc.exe
• veeamtransportsvc.exe

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• vmickvpexchange
• vmicguestinterface
• vmicshutdown
• vmicheartbeat
• vmicrdv
• storflt
• vmictimesync
• vmicvss
• MSSQLFDLauncher
• MSSQLSERVER
• SQLSERVERAGENT
• SQLBrowser
• SQLTELEMETRY
• MsDtsServer130
• SSISTELEMETRY130
• SQLWriter
• MSSQL
• SQLAgent
• MSSQLServerADHelper100
• MSSQLServerOLAPService
• MsDtsServer100
• ReportServer
• TMBMServer
• veeamcatalogsvc
• UniFi
• samss
• veeamcloudsvc
• veeamdeploysvc

その他

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

• WINWORD.EXE → loader, detected as Ransom.Win32.WANNAREN.YPCKB
• sc.dat → encrypted shell code, detected as Ransom.Win32.WANNAREN.YPCJM.enc
• config.bin → encrypted binary, detected as Ransom.Win32.WANNAREN.YPCJL.enc

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• logjst.txt
• Read Me.txt
• autorun.inf
• boot.ini
• bootfont.bin
• bootsect.bak
• bootmgr
• bootmgr.efi
• bootmgfw.efi
• desktop.ini
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• AppData
• Boot
• Windows
• Windows.old
• Tor Browser
• Internet Explorer
• Google
• Opera
• Opera Software
• Mozilla
• Mozilla Firefox
• $Recycle.Bin
• ProgramData
• All Users
• Program Files
• Program Files (x86)
• #recycle

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .life

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\READ ME.TXT
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• exe
• dll
• sys
• life