解析者: Warren Adam Sto. Tomas   
 別名:

Ransom:Win32/MedusaLocker.MK!MTB (Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

  詳細

ファイルサイズ 459,264 bytes
タイプ EXE
メモリ常駐 なし
発見日 2021年6月14日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
  • vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
  • vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
  • vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded
  • vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
  • vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
  • vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
  • vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=unbounded
  • vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
  • vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
  • vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
  • vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
  • vssadmin.exe Delete Shadows /All /Quiet
  • To delete backup:
    • del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
    • del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
    • del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
    • del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
    • del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
    • del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
    • wbadmin DELETE SYSTEMSTATEBACKUP
  • del %0
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • wmic.exe SHADOWCOPY /nointeractive

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • {8761ABBD-7F85-42EE-B272-A76179687C63}

自動実行方法

マルウェアは、以下のサービスを開始します。

  • LanmanWorkstation

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • wxServer.exe
  • wxServerView
  • sqlservr.exe
  • sqlmangr.exe
  • RAgui.exe
  • supervise.exe
  • Culture.exe
  • RTVscan.exe
  • Defwatch.exe
  • sqlbrowser.exe
  • winword.exe
  • Winword.exe
  • onenotem.exe
  • QBW32.exe
  • QBDBMgr.exe
  • qbupdate.xe
  • QBCFMonitorService.exe
  • axlbridge.exe
  • QBIDPService.exe
  • httpd.exe
  • fdlauncher.exe
  • MsDtsSrvr.exe
  • sqlwriter.exe
  • fdhost.exe
  • ssms.exe

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • wrapper
  • DefWatch
  • ccEvtMgr
  • ccSetMgr
  • SavRoam
  • sqlservr
  • sqlagent
  • sqladhlp
  • Culserver
  • RTVscan
  • sqlbrowser
  • SQLADHLP
  • QBIDPService
  • Intuit.QuickBooks.FCS
  • QBCFMonitorService
  • sqlwriter
  • msmdsrv
  • MSSQLServerADHelper100
  • MSSQLFDLauncher
  • MSSQLSERVER
  • MSSQLServerOLAPService
  • SQLBrowser
  • MsDtsServer100
  • ReportServer
  • SQLWriter
  • SQLSERVERAGENT

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • 123
  • 1c
  • 1cd
  • 3dm
  • 3ds
  • 3fr
  • 3g2
  • 3gp
  • 3pr
  • 602
  • 7z
  • 7zip
  • _ms
  • aac
  • ab4
  • abd
  • accdb
  • accde
  • accdr
  • accdt
  • ace
  • ach
  • acr
  • act
  • adb
  • adi
  • adp
  • ads
  • aes
  • afi
  • agdl
  • ai
  • aiff
  • aii
  • air
  • ais
  • ait
  • aiv
  • al
  • alg
  • allet
  • ams
  • aocla
  • aoi
  • apj
  • apk
  • arc
  • arch00
  • arm
  • art
  • arw
  • arz
  • asc
  • asf
  • asm
  • asp
  • aspx
  • asset
  • asx
  • avhdx
  • avi
  • awg
  • backup
  • backupdb
  • bank
  • bar
  • bat
  • bay
  • bc6
  • bc7
  • bck
  • bco
  • bdb
  • bgt
  • big
  • bik
  • bin
  • bkf
  • bkp
  • bkup
  • blend
  • blob
  • bmp
  • bpn
  • bpw
  • brd
  • bsa
  • bsm
  • bxl
  • bz2
  • cad
  • cam
  • cas
  • cbk
  • cbu
  • cdf
  • cdr
  • cdr3
  • cdr4
  • cdr5
  • cdr6
  • cdrw
  • cdx
  • ce1
  • ce2
  • cel
  • cer
  • cert
  • cf
  • cfg
  • cfr
  • cgi
  • cgm
  • chg
  • cib
  • ckt
  • class
  • classpath
  • cls
  • cmd
  • cmt
  • cnf
  • con
  • config
  • contact
  • cpa
  • cpi
  • cpp
  • cpr
  • cr2
  • craw
  • crt
  • crw
  • cs
  • csa
  • csh
  • cshtml
  • csl
  • csr
  • css
  • csv
  • ctl
  • cwz
  • d3dbsp
  • dac
  • das
  • data
  • dazip
  • db0
  • db3
  • db5
  • db_journal
  • dba
  • dbc
  • dbf
  • dbs
  • dbx
  • dc2
  • dch
  • dcr
  • dcs
  • ddb
  • ddd
  • ddoc
  • ddrw
  • dds
  • der
  • des
  • desc
  • design
  • dft
  • dgc
  • dif
  • dip
  • dit
  • djvu
  • dmp
  • dng
  • doc
  • docb
  • docm
  • docx
  • dot
  • dotm
  • dotx
  • dra
  • drf
  • drl
  • dru
  • drw
  • dsn
  • dsnwrk
  • dt
  • dtd
  • dwg
  • dxb
  • dxf
  • dxg
  • ecf
  • edb
  • edf
  • elt
  • eml
  • emz
  • epk
  • eps
  • erbsql
  • erf
  • esm
  • ewprj
  • exf
  • fdb
  • ff
  • ffd
  • fff
  • fh
  • fhd
  • fla
  • flac
  • flf
  • flp
  • flv
  • flvv
  • fods
  • fodt
  • forge
  • fos
  • fp7
  • fpd
  • fpk
  • fpx
  • frm
  • fsh
  • fxg
  • g1
  • g2
  • g3
  • g4
  • gbl
  • gbo
  • gbp
  • gbr
  • gbs
  • gbx
  • gdb
  • gho
  • gif
  • gko
  • gml
  • gp
  • gp1
  • gp2
  • gp3
  • gp4
  • gpb
  • gpg
  • gpt
  • gray
  • grb
  • grey
  • groups
  • gry
  • gtl
  • gto
  • gtp
  • gts
  • gwk
  • gz
  • hbk
  • hdd
  • hkdb
  • hkx
  • hplg
  • hpp
  • html
  • hvpl
  • hwp
  • ibank
  • ibd
  • ibz
  • icxs
  • idb
  • idc
  • idx
  • iif
  • iiq
  • incpas
  • indd
  • info
  • ip
  • ipc
  • ism
  • iso
  • itdb
  • itl
  • itm
  • iwd
  • iwi
  • ix
  • jar
  • java
  • jnt
  • jpe
  • jpeg
  • jpg
  • jrl
  • js
  • jsp
  • kc2
  • kdb
  • kdbx
  • kdc
  • kf
  • kicad
  • kpdx
  • kwm
  • laccdb
  • lay
  • lay6
  • layout
  • lbf
  • lbr
  • lc
  • lck
  • ldb
  • ldf
  • lg
  • lgc
  • lia
  • lib
  • libprj
  • license
  • licz
  • lit
  • litemod
  • llx
  • lmc
  • log
  • lrf
  • ltx
  • lua
  • lvl
  • lyt
  • lzh
  • lzma
  • m2
  • m2ts
  • m3u
  • m4a
  • m4p
  • m4u
  • m4v
  • map
  • mapimail
  • max
  • mbx
  • mcmeta
  • md
  • mdb
  • mdbackup
  • mdc
  • mddata
  • mdf
  • mef
  • menu
  • mfw
  • mid
  • mkv
  • mlb
  • mlx
  • mml
  • mmw
  • mny
  • moneywell
  • mos
  • mov
  • mp3
  • mp4
  • mpeg
  • mpg
  • mpqge
  • mrg
  • mrw
  • mrwref
  • msg
  • mst
  • mts
  • myd
  • myi
  • mysql
  • mysqli
  • nbd
  • nc
  • ncf
  • nd
  • ndd
  • ndf
  • nef
  • nk2
  • nop
  • nrw
  • ns2
  • ns3
  • ns4
  • nsd
  • nsf
  • nsg
  • nsh
  • ntl
  • nvram
  • nwb
  • nx2
  • nxl
  • nyf
  • oab
  • obj
  • obk
  • odb
  • odc
  • odf
  • odg
  • odm
  • odp
  • ods
  • odt
  • oeb
  • ogg
  • oil
  • olb
  • one
  • onetoc2
  • opj
  • opt
  • ora
  • orf
  • ost
  • otg
  • oth
  • otp
  • ots
  • ott
  • p12
  • p7b
  • p7c
  • pab
  • pad
  • pages
  • pak
  • paq
  • par
  • pas
  • pat
  • pbd
  • pc
  • pcb
  • pcbdoc
  • pcd
  • pct
  • pdb
  • pdblib
  • pdd
  • pdf
  • pef
  • pem
  • pfx
  • phj
  • phl
  • pho
  • php
  • pif
  • pkpass
  • pl
  • plc
  • plus_muhd
  • png
  • pot
  • potm
  • potx
  • ppam
  • ppc
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • prf
  • prj
  • prjcor
  • prjemb
  • prjpcb
  • pro
  • project
  • prt
  • ps
  • ps1
  • psafe3
  • psc
  • psd
  • psk
  • psm
  • pspimage
  • pst
  • ptx
  • pwm
  • py
  • q99
  • qb1
  • qba
  • qbb
  • qbk
  • qbm
  • qbmb
  • qbmd
  • qbquery
  • qbr
  • qbw
  • qbx
  • qby
  • qcow
  • qcow2
  • qdf
  • qed
  • qfd
  • qfx
  • qic
  • qif
  • qmd
  • qry
  • quicken
  • quicken2015backup
  • quicken2016backup
  • quicken2017backup
  • qw5
  • r3d
  • raf
  • rar
  • rat
  • raw
  • rb
  • rdb
  • re4
  • reu
  • rgss3a
  • rim
  • rm
  • rofl
  • rou
  • rtf
  • rul
  • rvt
  • rw2
  • rwl
  • rwz
  • s3db
  • safe
  • sal
  • sas7bdat
  • sav
  • save
  • say
  • sb
  • sbn
  • sbx
  • sch
  • schdoc
  • schlib
  • sd0
  • sda
  • sdf
  • sh
  • shp
  • shx
  • sid
  • sidd
  • sidn
  • sie
  • sis
  • sl2
  • sl3
  • sldm
  • sldx
  • slk
  • slm
  • sln
  • snt
  • snx
  • spp
  • sqb
  • sql
  • sqlite
  • sqlite3
  • sqlitedb
  • sqr
  • sr2
  • srf
  • srt
  • srw
  • ssq
  • st4
  • st5
  • st6
  • st7
  • st8
  • stc
  • std
  • sti
  • stm
  • stp
  • stw
  • stx
  • sum
  • suo
  • svg
  • swf
  • sxc
  • sxd
  • sxg
  • sxi
  • sxm
  • sxw
  • syncdb
  • t12
  • t13
  • tar
  • tax
  • tbk
  • tcf
  • tex
  • tga
  • tgz
  • thm
  • tib
  • tif
  • tiff
  • tlg
  • tmd
  • tmp
  • tor
  • trn
  • txt
  • ub
  • uop
  • uot
  • upk
  • vb
  • vbk
  • vbm
  • vbox
  • vbs
  • vcd
  • vcf
  • vdf
  • vdi
  • vfs0
  • vhd
  • vhdx
  • vib
  • vlb
  • vmdk
  • vmem
  • vmsd
  • vmx
  • vmxf
  • vob
  • vom
  • vpk
  • vpp_pc
  • vsd
  • vsdx
  • vtf
  • w3x
  • wab
  • wad
  • wallet
  • wav
  • wb2
  • wbk
  • wdb
  • wk1
  • wks
  • wma
  • wmo
  • wmv
  • wotreplay
  • wpd
  • wps
  • x11
  • x3f
  • xf
  • xg3
  • xgo
  • xis
  • xla
  • xlam
  • xlc
  • xlk
  • xlm
  • xlr
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xlt
  • xltm
  • xltx
  • xlw
  • xml
  • xps
  • xslt
  • xxx
  • ycbcra
  • ydk
  • zip
  • zpd
  • ztmp

マルウェアは、以下を実行します。

  • This ransomware can perform privilege escalation
  • It encrypts in all existing drives of the affected system
  • It encrypts files from network share
  • It empties out the Recycle Bin

ランサムウェアの不正活動

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

  • ALLUSERSPROFILE
  • \AppData
  • USERPROFILE
  • ProgramData
  • WINDIR
  • ProgramW6432
  • PROGRAMFILES(x86)
  • SYSTEMDRIVE
  • \Application Data
  • \Intel
  • \MSOCache
  • \PerfLogs
  • \Nvidia
  • \NVIDIA Corporation
  • \Users\All Users

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .nermer

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted directory}\PROTECT_INFO.TXT

以下のファイル拡張子を持つファイルについては暗号化しません:

  • exe
  • dll
  • sys
  • ini
  • lnk
  • dat
  • htmlx
  • vxdh

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 16.826.04
初回 VSAPI パターンリリース日 2021年7月6日
VSAPI OPR パターンバージョン 16.827.00
VSAPI OPR パターンリリース日 2021年7月7日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.Win32.TRX.XXPE50FFF046

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

「Ransom.Win64.NERMER.A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLinkedConnections = 1

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {Encrypted directory}\PROTECT_INFO.TXT

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win64.NERMER.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 10

暗号化されたファイルをバックアップから復元します。


ご利用はいかがでしたか? アンケートにご協力ください