Ransom.Win64.RHYSIDA.THEBBBC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Public%\bg.jpg

(註：%Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

マルウェアは、以下のプロセスを追加します。

• cmd.exe /c reg delete "HKCU\Conttol Panel\Desktop" /v Wallpaper /f
• cmd.exe /c reg delete "HKCU\Conttol Panel\Desktop" /v WallpaperStyle /f
• cmd.exe /c reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop" /v NoChangingWallPaper /t REG_SZ /d 1 /f
• cmd.exe /c reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop" /v NoChangingWallPaper /t REG_SZ /d 1 /f
• cmd.exe /c reg add "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%Public%\bg.jpg" /f
• cmd.exe /c reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v Wallpaper /t REG_SZ /d "%Public%\bg.jpg" /f
• cmd.exe /c reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v WallpaperStyle /t REG_SZ /d 2 /f
• cmd.exe /c reg add "HKCU\Control Panel\Desktop" /v WallpaperStyle /t REG_SZ /d 2 /f
• rundll32.exe user32.dll,UpdatePerUserSystemParameters
• cmd.exe /c start powershell.exe -WindowStyle Hidden -Command Sleep -Milliseconds 500; Remove-Item -Force -Path "{Malware File Path}\{Malware File Name}" -ErrorAction SilentlyContinue; → executed to delete itself after execution

(註：%Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallPaper = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallPaper = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Public%\bg.jpg

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
Wallpaper = %Public%\bg.jpg

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
WallpaperStyle = 2

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

(註：変更前の上記レジストリ値は、「0」となります。)

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %Public%\bg.jpg
  

その他

マルウェアは、以下を実行します。

• It displays its activity on the console.
• It initializes resources based on the number of processors available in the system.
• It encrypts all system drives from A to Z.
• It deletes itself after execution.
• It displays the following after execution:
  

マルウェアは、以下のパラメータを受け取ります。

• -d {path to encrypt} → used to specify directory to encrypt
• -sr → self-remove modifier

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• .bat
• .bin
• .cab
• .cmd
• .com
• .cur
• .diagcab
• .diagcfg
• .diagpkg
• .drv
• .dll
• .exe
• .hlp
• .hta
• .ico
• .lnk
• .msi
• .ocx
• .ps1
• .psm1
• .scr
• .sys
• .ini
• Thumbs.db
• .url
• .iso
• .cab

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• $Recycle.Bin
• Boot
• Documents and Settings
• PerfLogs
• Program Files
• Program Files (x86)
• ProgramData
• Recovery
• System Volume Information
• Windows
• $RECYCLE.BIN

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .rhysida

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\CriticalBreachDetected.pdf
  

<補足>
その他

マルウェアは、以下を実行します。

• コンソール上に自身のアクティビティを表示します。
• 感染コンピュータ内で使用可能なプロセッサの数に基づいてリソースを初期化します。
• AからZ までのすべてのシステムドライブを暗号化します。
• 実行後、自身を削除します。
• 実行後、以下を表示します。
  

マルウェアは、以下のパラメータを受け取ります。

• -d {暗号化対象のパス} → 暗号化するディレクトリの指定に使用される
• -sr → 自己削除するために使用されるモディファイヤ