Ransom.Win64.MEDUSALOCKER.AB

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のフォルダ内のファイルを暗号化します。 身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\KEY.FILE

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
• vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
• vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
• vssadmin.exe Delete Shadows /All /Quiet
• del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
• del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
• del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
• del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
• del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
• del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
• del %0
• bcdedit.exe /set {default} recoveryenabled No
• bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• wbadmin DELETE SYSTEMSTATEBACKUP
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• wmic.exe SHADOWCOPY /nointeractive
• %System%\cmd.exe /c del {Malware File Path}\{Malware File Name}.exe >>NUL → delete itself after execution

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {8761ABBD-7F85-42EE-B272-A76179687C63}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSFEEditor = "{Malware File Path}\{Malware File Name.exe}" e

マルウェアは、以下のサービスを開始します。

• Lanmanworkstation

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkedConnections = 1

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• ccEvtMgr
• ccSetMgr
• Culserver
• dbeng8
• dbsrv12
• DefWatch
• Intuit.QuickBooks.FCS
• MsDtsServer100
• msmdsrv
• MSSQLFDLauncher
• MSSQLSERVER
• MSSQLServerADHelper100
• MSSQLServerOLAPService
• QBCFMonitorService
• QBIDPService
• ReportServer
• RTVscan
• SavRoam
• sqladhlp
• SQLADHLP
• sqlagent
• sqlbrowser
• SQLBrowser
• SQLSERVERAGENT
• sqlservr
• sqlwriter
• SQLWriter
• tomcat6
• vmware-converter
• vmware-usbarbitator64
• wrapper
• zhudongfangyu
• ccEvtMgr
• ccSetMgr
• Culserver
• dbeng8
• dbsrv12
• DefWatch
• Intuit.QuickBooks.FCS
• MsDtsServer100
• msmdsrv
• MSSQLFDLauncher
• MSSQLSERVER
• MSSQLServerADHelper100
• MSSQLServerOLAPService
• QBCFMonitorService
• QBIDPService
• ReportServer
• RTVscan
• SavRoam
• sqladhlp
• SQLADHLP
• sqlagent
• sqlbrowser
• SQLBrowser
• SQLSERVERAGENT
• sqlservr
• sqlwriter
• SQLWriter
• tomcat6
• vmware-converter
• vmware-usbarbitator64
• wrapper
• zhudongfangyu

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 360doctor.exe
• 360se.exe
• axlbridge.exe
• Culture.exe
• Defwatch.exe
• EXCEL.EXE
• fdhost.exe
• fdlauncher.exe
• GDscan.exe
• httpd.exe
• java.exe
• MsDtsSrvr.exe
• onenotem.exe
• QBCFMonitorService.exe
• QBDBMgr.exe
• QBIDPService.exe
• qbupdate.exe
• QBW32.exe
• RAgui.exe
• RTVscan.exe
• sqlbrowser.exe
• sqlmangr.exe
• sqlservr.exe
• sqlwriter.exe
• ssms.exe
• supervise.exe
• tomcat6.exe
• wdswfsafe.exe
• winword.exe
• Winword.exe
• wxServer.exe
• wxServerView
• ZhuDongFangYu.exe

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .123
• .1c
• .1cd
• .3dm
• .3ds
• .3fr
• .3g2
• .3gp
• .3pr
• .602
• .7z
• .7zip
• ._ms
• .aac
• .ab4
• .abd
• .accdb
• .accde
• .accdr
• .accdt
• .ace
• .ach
• .acr
• .act
• .adb
• .adi
• .adp
• .adr
• .ads
• .aes
• .afi
• .agdl
• .ai
• .aiff
• .aii
• .air
• .ais
• .ait
• .aiv
• .al
• .alg
• .allet
• .ams
• .aocla
• .aoi
• .apj
• .apk
• .arc
• .arch00
• .arm
• .art
• .arw
• .arz
• .asc
• .asf
• .asm
• .asp
• .aspx
• .asset
• .asx
• .avhdx
• .avi
• .awg
• .backup
• .backupdb
• .bank
• .bar
• .bat
• .bay
• .bc6
• .bc7
• .bck
• .bco
• .bdb
• .bgt
• .big
• .bik
• .bin
• .bkf
• .bkp
• .bkup
• .blend
• .blob
• .bmp
• .bpn
• .bpw
• .brd
• .bsa
• .bsm
• .bxl
• .bz2
• .c
• .cad
• .cam
• .cas
• .cbk
• .cbu
• .cdf
• .cdr
• .cdr3
• .cdr4
• .cdr5
• .cdr6
• .cdrw
• .cdx
• .ce1
• .ce2
• .cel
• .cer
• .cert
• .cf
• .cfg
• .cfr
• .cgi
• .cgm
• .chg
• .cib
• .ckt
• .class
• .classpath
• .cls
• .cmd
• .cmt
• .cnf
• .con
• .config
• .contact
• .cpa
• .cpi
• .cpp
• .cpr
• .cr2
• .craw
• .crt
• .crw
• .cs
• .csa
• .csh
• .cshtml
• .csl
• .csr
• .css
• .csv
• .ctl
• .cwz
• .d
• .d3dbsp
• .dac
• .das
• .data
• .dazip
• .db0
• .db3
• .db5
• .db_journal
• .dba
• .dbc
• .dbf
• .dbs
• .dbx
• .dc2
• .dch
• .dcr
• .dcs
• .ddb
• .ddd
• .ddoc
• .ddrw
• .dds
• .der
• .des
• .desc
• .design
• .dft
• .dgc
• .dif
• .dip
• .dit
• .djvu
• .dmp
• .dng
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dra
• .drf
• .drl
• .dru
• .drw
• .dsn
• .dsnwrk
• .dt
• .dtd
• .dwg
• .dxb
• .dxf
• .dxg
• .e
• .ecf
• .edb
• .edf
• .elt
• .eml
• .emz
• .epk
• .eps
• .erbsql
• .erf
• .esm
• .ewprj
• .exf
• .fdb
• .ff
• .ffd
• .fff
• .fh
• .fhd
• .fla
• .flac
• .flf
• .flp
• .flv
• .flvv
• .fods
• .fodt
• .forge
• .fos
• .fp7
• .fpd
• .fpk
• .fpx
• .frm
• .fsh
• .fxg
• .g1
• .g2
• .g3
• .g4
• .gbk
• .gbl
• .gbo
• .gbp
• .gbr
• .gbs
• .gbx
• .gdb
• .gho
• .gif
• .gko
• .gml
• .gp
• .gp1
• .gp2
• .gp3
• .gp4
• .gpb
• .gpg
• .gpt
• .gray
• .grb
• .grey
• .groups
• .gry
• .gtl
• .gto
• .gtp
• .gts
• .gwk
• .gz
• .h
• .hbk
• .hdd
• .hkdb
• .hkx
• .hplg
• .hpp
• .html
• .hvpl
• .hwp
• .ibank
• .ibd
• .ibz
• .icxs
• .idb
• .idc
• .idx
• .iif
• .iiq
• .incpas
• .indd
• .info
• .ip
• .ink
• .ipc
• .ism
• .iso
• .itdb
• .itl
• .itm
• .iwd
• .iwi
• .ix
• .jar
• .java
• .jnt
• .jpe
• .jpeg
• .jpg
• .jrl
• .js
• .jsp
• .kc2
• .kdb
• .kdbx
• .kdc
• .kf
• .kicad
• .kpdx
• .kwm
• .laccdb
• .lay
• .lay6
• .layout
• .lbf
• .lbr
• .lc
• .lck
• .ldb
• .ldf
• .lg
• .lgc
• .lia
• .lib
• .libprj
• .license
• .licz
• .lit
• .litemod
• .llx
• .lmc
• .log
• .lrf
• .ltx
• .lua
• .lvl
• .lyt
• .lzh
• .lzma
• .m
• .m2
• .m2ts
• .m3u
• .m4a
• .m4p
• .m4u
• .m4v
• .map
• .mapimail
• .max
• .mbx
• .mcmeta
• .md
• .mdb
• .mdbackup
• .mdc
• .mddata
• .mdf
• .mef
• .menu
• .mfw
• .mid
• .mkv
• .mlb
• .mlx
• .mml
• .mmw
• .mny
• .moneywell
• .mos
• .mov
• .mp3
• .mp4
• .mpeg
• .mpg
• .mpqge
• .mrg
• .mrw
• .mrwref
• .msg
• .mst
• .mts
• .myd
• .myi
• .mysql
• .mysqli
• .nbd
• .nc
• .ncf
• .nd
• .ndd
• .ndf
• .nef
• .nk2
• .nop
• .nrw
• .ns2
• .ns3
• .ns4
• .nsd
• .nsf
• .nsg
• .nsh
• .ntl
• .nvram
• .nwb
• .nx2
• .nxl
• .nyf
• .oab
• .obj
• .obk
• .odb
• .odc
• .odf
• .odg
• .odm
• .odp
• .ods
• .odt
• .oeb
• .ogg
• .oil
• .olb
• .one
• .onetoc2
• .opj
• .opt
• .ora
• .orf
• .ost
• .otg
• .oth
• .otp
• .ots
• .ott
• .p
• .p12
• .p7b
• .p7c
• .pab
• .pad
• .pages
• .pak
• .paq
• .par
• .pas
• .pat
• .pbd
• .pc
• .pcb
• .pcbdoc
• .pcd
• .pct
• .pdb
• .pdblib
• .pdd
• .pdf
• .pef
• .pem
• .pfx
• .phj
• .phl
• .pho
• .php
• .pif
• .pkpass
• .pl
• .plc
• .plus_muhd
• .png
• .pot
• .potm
• .potx
• .ppam
• .ppc
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prf
• .prj
• .prjcor
• .prjemb
• .prjpcb
• .pro
• .project
• .prt
• .ps
• .ps1
• .psafe3
• .psc
• .psd
• .psk
• .psm
• .pspimage
• .pst
• .pt
• .ptx
• .pwm
• .py
• .q99
• .qb1
• .qba
• .qbb
• .qbk
• .qbm
• .qbmb
• .qbmd
• .qbquery
• .qbr
• .qbw
• .qbx
• .qby
• .qcow
• .qcow2
• .qdf
• .qed
• .qfd
• .qfx
• .qic
• .qif
• .qmd
• .qry
• .quicken
• .quicken2015backup
• .quicken2016backup
• .quicken2017backup
• .qw5
• .r3d
• .raf
• .rar
• .rat
• .raw
• .rb
• .rdb
• .re4
• .reu
• .rgss3a
• .rim
• .rm
• .rofl
• .rou
• .rtf
• .rul
• .rvt
• .rw2
• .rwl
• .rwz
• .s3db
• .safe
• .sal
• .sas7bdat
• .sav
• .save
• .say
• .sb
• .sbn
• .sbx
• .sch
• .schdoc
• .schlib
• .sd0
• .sda
• .sdf
• .sh
• .shp
• .shx
• .sid
• .sidd
• .sidn
• .sie
• .sis
• .sl2
• .sl3
• .sldm
• .sldx
• .slk
• .slm
• .sln
• .snt
• .snx
• .spp
• .sqb
• .sql
• .sqlite
• .sqlite3
• .sqlitedb
• .sqr
• .sr2
• .srf
• .srt
• .srw
• .ssq
• .st4
• .st5
• .st6
• .st7
• .st8
• .stc
• .std
• .sti
• .stm
• .stp
• .stw
• .stx
• .sum
• .suo
• .svg
• .swf
• .sxc
• .sxd
• .sxg
• .sxi
• .sxm
• .sxw
• .syncdb
• .t12
• .t13
• .tar
• .tax
• .tbk
• .tcf
• .tex
• .tga
• .tgz
• .thm
• .tib
• .tif
• .tiff
• .tlg
• .tmd
• .tmp
• .tor
• .trn
• .txt
• .ub
• .uop
• .uot
• .upk
• .vb
• .vbk
• .vbm
• .vbox
• .vbs
• .vcd
• .vcf
• .vdf
• .vdi
• .vfs0
• .vhd
• .vhdx
• .vib
• .vlb
• .vmdk
• .vmem
• .vmsd
• .vmx
• .vmxf
• .vob
• .vom
• .vpk
• .vpp_pc
• .vsd
• .vsdx
• .vtf
• .w3x
• .wab
• .wad
• .wallet
• .wav
• .wb2
• .wbk
• .wdb
• .wk1
• .wks
• .wma
• .wmo
• .wmv
• .wotreplay
• .wpd
• .wps
• .x11
• .x3f
• .xf
• .xg3
• .xgo
• .xis
• .xla
• .xlam
• .xlc
• .xlk
• .xlm
• .xlr
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .xps
• .xslt
• .xxx
• .yb2
• .ycbcra
• .ydk
• .zip
• .zpd
• .ztmp

マルウェアは、以下を実行します。

• It affects all existing drives in the system
• It encrypts files from network shares

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• Program Files\Microsoft\Exchange Server
• Program Files (x86)\Microsoft\Exchange Server
• Program Files\Microsoft SQL Server
• Program Files (x86)\Microsoft SQL Server

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• %All Users Profile%
• %User Profile%\AppData
• %Windows%
• %Program Files%
• %System Root%
• \intel
• \nvidia

(註：%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .ReadInstructions

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\Recovery_Instructions.mht
• %System Root%\Recovery_Instructions.mht
• {Drive Letter}\Recovery_Instructions.mht
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .dat
• .dll
• .exe
• .mht
• .ini
• .lnk
• .sys
• .ReadInstructions