Ransom.Win64.RELICPROJ.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

• d:\$recyclebin\desktop.ini
• d:\$recyclebin\$I63O705.txt
• D:\$RECYCLE.BIN\$R63O705.txt
• D:\$RECYCLE.BIN\$RJRKOLR\bridgelist.h
• D:\$RECYCLE.BIN\$RJRKOLR\dbghelp\dbghelp.h
• D:\$RECYCLE.BIN\$RJRKOLR\lz4\lz4.h
• D:\$RECYCLE.BIN\$RJRKOLR\TitanEngine\TitanEngine.h
• D:\$RECYCLE.BIN\$RJRKOLR\TitanEngine\TitanEngine_x64.a
• D:\$RECYCLE.BIN\$RJRKOLR\TitanEngine\TitanEngine_x64.lib
• D:\$RECYCLE.BIN\$RJRKOLR\XEDParse\XEDParse_x64.a
• D:\$RECYCLE.BIN\$RJRKOLR\_plugin_types.h
• D:\$RECYCLE.BIN\$RJRKOLR\_dbgfunctions.h
• D:\$RECYCLE.BIN\$RJRKOLR\_plugin_types.h
• D:\$RECYCLE.BIN\$RSYAN0F\translations\x64dbg_{language}.qm
• D:\$RECYCLE.BIN\$RSYAN0F\x32\asmjit.dll
• D:\$RECYCLE.BIN\$RSYAN0F\x32\dbghelp.dll
• D:\$RECYCLE.BIN\$RSYAN0F\x32\DeviceNameResolver.dll
• D:\$RECYCLE.BIN\$RSYAN0F\x32\GleeBug
• D:\$RECYCLE.BIN\$RSYAN0F\x32\Scylla.dll

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• sql
• oracle
• dbeng50
• postgres
• isqlplussvc
• toad
• git
• subversion
• svn
• logmein
• teamviewer
• vnc
• tinyvnc
• backup
• s3
• onedrive
• azure
• mail
• outlook
• thunderbird
• firefox
• chrome
• chromium
• winword
• powerpnt
• wordpad
• excel
• msaccess
• onenote
• outlook
• visio
• java
• putty
• git
• cadence
• cad
• allegro
• jira
• processmonitor
• regedit
• ocssd
• procexplorerv
• regedt32
• procexplorerv
• procdump
• mmc
• programaudit
• kaseya
• steam

情報漏えい

マルウェアは、以下の情報を収集します。

• Hostname
• Username
• OS Version
• Service Configurations

その他

マルウェアは、以下を実行します。

• It uses wevtutil.exe to clear event logs of each segment of its malicious routine.
• Before encryption, it checks every available folder in available local drives if there are files inside it.
• It retrieves service configurations that are related in managing Windows OS, network connectivity, security, and multimedia:
  • audiosvc
  • bdesvc
  • comsysapp
  • cscservice
  • dcomlaunch
  • dhcp
  • dnscache
  • dot3svc
  • eaphost
  • efs
  • ehrecvr
  • ehsched
  • eventlog
  • eventsystem
  • fax
  • fdphost
  • googlechromeelevationservice
  • gpsvc
  • gupdate
  • gupdatem
  • hidserv
  • hkmsvc
  • homegroupprovider
  • idsvc
  • ikeext
  • ipbusenum
  • iphlpsvc
  • keyiso
  • ktmrm
  • lanmanserver
  • lanmanworkstation
  • lltdsvc
  • mmcss
  • netlogon
  • netman
  • netmsmqactivator
  • nettcpactivator
  • nettcpportsharing
  • p2psvc
  • plugplay
  • power
  • protectedstorage
  • remoteregistry
  • sharedaccess
  • termservice
  • vaultsvc
  • wbengine
  • wcncsvc
  • wdiservicehost
  • wdisystemhost
  • webclient

ランサムウェアの不正活動

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• {original filename}.{original extension}.306624E70F2C279F

マルウェアが作成する以下のファイルは、脅迫状です。

• {encrypted directory}\UNLOCK_FILES.306624E70F2C279F.HTML
• {available drives}\UNLOCK_FILES.306624E70F2C279F.HTML
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .drv
• .msc
• .dll
• .lock
• .sys
• .msu
• .lnk
• .search-ms