解析者: Raighen Sanchez   

 別名:

UDS:Trojan-Ransom.Win32.Relic.a (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

  詳細

ファイルサイズ 2,968,064 bytes
タイプ EXE
発見日 2023年12月25日
ペイロード プロセスの強制終了, ファイルの削除, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • d:\$recyclebin\desktop.ini
  • d:\$recyclebin\$I63O705.txt
  • D:\$RECYCLE.BIN\$R63O705.txt
  • D:\$RECYCLE.BIN\$RJRKOLR\bridgelist.h
  • D:\$RECYCLE.BIN\$RJRKOLR\dbghelp\dbghelp.h
  • D:\$RECYCLE.BIN\$RJRKOLR\lz4\lz4.h
  • D:\$RECYCLE.BIN\$RJRKOLR\TitanEngine\TitanEngine.h
  • D:\$RECYCLE.BIN\$RJRKOLR\TitanEngine\TitanEngine_x64.a
  • D:\$RECYCLE.BIN\$RJRKOLR\TitanEngine\TitanEngine_x64.lib
  • D:\$RECYCLE.BIN\$RJRKOLR\XEDParse\XEDParse_x64.a
  • D:\$RECYCLE.BIN\$RJRKOLR\_plugin_types.h
  • D:\$RECYCLE.BIN\$RJRKOLR\_dbgfunctions.h
  • D:\$RECYCLE.BIN\$RJRKOLR\_plugin_types.h
  • D:\$RECYCLE.BIN\$RSYAN0F\translations\x64dbg_{language}.qm
  • D:\$RECYCLE.BIN\$RSYAN0F\x32\asmjit.dll
  • D:\$RECYCLE.BIN\$RSYAN0F\x32\dbghelp.dll
  • D:\$RECYCLE.BIN\$RSYAN0F\x32\DeviceNameResolver.dll
  • D:\$RECYCLE.BIN\$RSYAN0F\x32\GleeBug
  • D:\$RECYCLE.BIN\$RSYAN0F\x32\Scylla.dll

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • sql
  • oracle
  • dbeng50
  • postgres
  • isqlplussvc
  • toad
  • git
  • subversion
  • svn
  • logmein
  • teamviewer
  • vnc
  • tinyvnc
  • backup
  • s3
  • onedrive
  • azure
  • mail
  • outlook
  • thunderbird
  • firefox
  • chrome
  • chromium
  • winword
  • powerpnt
  • wordpad
  • excel
  • msaccess
  • onenote
  • outlook
  • visio
  • java
  • putty
  • git
  • cadence
  • cad
  • allegro
  • jira
  • processmonitor
  • regedit
  • ocssd
  • procexplorerv
  • regedt32
  • procexplorerv
  • procdump
  • mmc
  • programaudit
  • kaseya
  • steam

情報漏えい

マルウェアは、以下の情報を収集します。

  • Hostname
  • Username
  • OS Version
  • Service Configurations

その他

マルウェアは、以下を実行します。

  • It uses wevtutil.exe to clear event logs of each segment of its malicious routine.
  • Before encryption, it checks every available folder in available local drives if there are files inside it.
  • It retrieves service configurations that are related in managing Windows OS, network connectivity, security, and multimedia:
    • audiosvc
    • bdesvc
    • comsysapp
    • cscservice
    • dcomlaunch
    • dhcp
    • dnscache
    • dot3svc
    • eaphost
    • efs
    • ehrecvr
    • ehsched
    • eventlog
    • eventsystem
    • fax
    • fdphost
    • googlechromeelevationservice
    • gpsvc
    • gupdate
    • gupdatem
    • hidserv
    • hkmsvc
    • homegroupprovider
    • idsvc
    • ikeext
    • ipbusenum
    • iphlpsvc
    • keyiso
    • ktmrm
    • lanmanserver
    • lanmanworkstation
    • lltdsvc
    • mmcss
    • netlogon
    • netman
    • netmsmqactivator
    • nettcpactivator
    • nettcpportsharing
    • p2psvc
    • plugplay
    • power
    • protectedstorage
    • remoteregistry
    • sharedaccess
    • termservice
    • vaultsvc
    • wbengine
    • wcncsvc
    • wdiservicehost
    • wdisystemhost
    • webclient

ランサムウェアの不正活動

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • {original filename}.{original extension}.306624E70F2C279F

マルウェアが作成する以下のファイルは、脅迫状です。

  • {encrypted directory}\UNLOCK_FILES.306624E70F2C279F.HTML
  • {available drives}\UNLOCK_FILES.306624E70F2C279F.HTML

以下のファイル拡張子を持つファイルについては暗号化しません:

  • .drv
  • .msc
  • .dll
  • .lock
  • .sys
  • .msu
  • .lnk
  • .search-ms

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.900.06
初回 VSAPI パターンリリース日 2023年12月25日
VSAPI OPR パターンバージョン 18.901.00
VSAPI OPR パターンリリース日 2023年12月26日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

    • Troj.Win32.TRX.XXPE50FFF075

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {encrypted directory}\UNLOCK_FILES.306624E70F2C279F.HTML
  • {available drives}\UNLOCK_FILES.306624E70F2C279F.HTML

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win64.RELICPROJ.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください