Ransom.Win64.LOCKBIT.YXFDJ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• vss
• sql
• svc$
• memtas
• mepocs
• sophos
• veeam
• backup
• GxVss
• GxBlr
• GxFWD
• GxCVD
• GxCIMgr
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• RTVscan
• QBFCService
• QBIDPService
• Intuit.QuickBooks.FCS
• QBCFMonitorService
• YooBackup
• YooIT
• zhudongfangyu
• sophos
• stc_raw_agent
• VSNAPVSS
• VeeamTransportSvc
• VeeamDeploymentService
• VeeamNFSSvc
• veeam
• PDVFSService
• BackupExecVSSProvider
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• AcrSch2Svc
• AcronisAgent
• CASAD2DWebSvc
• CAARCUpdateSvc

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• sql.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• isqlplussvc.exe
• xfssvccon.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefox.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• steam.exe
• thebat.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• notepad.exe

その他

マルウェアは、以下を実行します。

• It encrypts fixed, removable, and network shares
• It uses the Windows Restart Manager API to close processes or shut down Windows services that may be keeping a file open and preventing encryption.
• It empties the recycle bin.
• If any of these files or folders have a "Date Modified" timestamp on or after June 6, 2026, the process will terminate:
  • %Windows%\bootstat.dat
  • %Windows%\bootstat.dat
  • %Windows%\WindowsUpdate.log
  • %System%\perfc009.dat
  • %System%\perfh009.dat
  • %System%\PerfStringBackup.ini
  • System Root%\Users\All Users\AppData\Local\Temp\
  • %System Root%\Users\Default\AppData\Local\Temp\
  • %System Root%\Users\Default User\AppData\Local\Temp\
  • %AppDataLocal%\Temp\
  • %User Temp%
  • %Temp%

(註：%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

マルウェアは、以下のいずれかのコンピュータ名が感染コンピュータで確認される場合、自身を終了します。

• NIMCHEAD01
• IMMUMAD01
• NIMMUMAD02
• SNGDC01

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• bootfont.bin
• bootsect.bak
• bootmgr
• bootmgr.efi
• bootmgfw.efi
• desktop.ini
• iconcache.db
• ntldr
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db
• Program Files
• Program Files (x86)
• #recycle
• How to decrypt my data.txt
• decryptiondescription.pdf
• config.json
• Important!!!.pdf

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• AppData
• Boot
• Windows
• Windows.old
• Tor Browser
• Internet Explorer
• Google
• Opera
• Opera Software
• Mozilla
• Mozilla Firefox
• $Recycle.Bin
• ProgramData
• All Users

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .x2anylock

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\How to decrypt my data.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .x2anylock
• .xlockxlock
• .386
• .adv
• .ani
• .bat
• .bin
• .cab
• .cmd
• .com
• .cpl
• .cur
• .deskthemepack
• .diagcab
• .diagcfg
• .diagpkg
• .dll
• .drv
• .exe
• .hlp
• .icl
• .icns
• .ico
• .ics
• .idx
• .ldf
• .lnk
• .mod
• .mpa
• .msc
• .msp
• .msstyles
• .msu
• .nls
• .nomedia
• .ocx
• .prf
• .ps1
• .rom
• .rtp
• .scr
• .shs
• .spl
• .sys
• .theme
• .themepack
• .wpx
• .lock
• .key
• .hta
• .msi
• .pdb
• .search-ms