Ransom.Win64.TELLUDPASS.THLBOBA

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

特定のファイル拡張子を持つファイルを暗号化します。 身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %All Users Profile%\encfile.txt
• %All Users Profile%\public.txt
• %All Users Profile%\showkey.txt

(註：%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

マルウェアは、以下のプロセスを追加します。

• cmd.exe /c "taskkill /f /im msftesql.exe "
• cmd.exe /c "schtasks /delete /tn WM /F "
• cmd.exe /c "taskkill /f /im sqlagent.exe "
• cmd.exe /c "taskkill /f /im sqlbrowser.exe "
• cmd.exe /c "taskkill /f /im sqlservr.exe "
• cmd.exe /c "taskkill /f /im sqlwriter.exe "
• cmd.exe /c "taskkill /f /im oracle.exe "
• cmd.exe /c "taskkill /f /im ocssd.exe "
• cmd.exe /c "taskkill /f /im dbsnmp.exe "
• cmd.exe /c "taskkill /f /im synctime.exe "
• cmd.exe /c "taskkill /f /im mydesktopqos.exe "
• cmd.exe /c "taskkill /f /im agntsvc.exeisqlplussvc.exe "
• cmd.exe /c "taskkill /f /im xfssvccon.exe "
• cmd.exe /c "taskkill /f /im mydesktopservice.exe "
• cmd.exe /c "taskkill /f /im ocautoupds.exe "
• cmd.exe /c "taskkill /f /im agntsvc.exeagntsvc.exe "
• cmd.exe /c "taskkill /f /im agntsvc.exeencsvc.exe "
• cmd.exe /c "taskkill /f /im firefoxconfig.exe "
• cmd.exe /c "taskkill /f /im tbirdconfig.exe "
• cmd.exe /c "taskkill /f /im ocomm.exe "
• cmd.exe /c "taskkill /f /im mysqld.exe "
• cmd.exe /c "taskkill /f /im mysqld-nt.exe "
• cmd.exe /c "taskkill /f /im mysqld-opt.exe "
• cmd.exe /c "taskkill /f /im dbeng50.exe "
• cmd.exe /c "taskkill /f /im sqbcoreservice.exe "
• cmd.exe /c "taskkill /f /im excel.exe "
• cmd.exe /c "taskkill /f /im infopath.exe "
• cmd.exe /c "taskkill /f /im msaccess.exe "
• cmd.exe /c "taskkill /f /im mspub.exe "
• cmd.exe /c "taskkill /f /im onenote.exe "
• cmd.exe /c "taskkill /f /im outlook.exe "
• cmd.exe /c "taskkill /f /im powerpnt.exe "
• cmd.exe /c "taskkill /f /im steam.exe "
• cmd.exe /c "taskkill /f /im thebat.exe "
• cmd.exe /c "taskkill /f /im thebat64.exe "
• cmd.exe /c "taskkill /f /im thunderbird.exe "
• cmd.exe /c "taskkill /f /im visio.exe "
• cmd.exe /c "taskkill /f /im winword.exe "
• cmd.exe /c "taskkill /f /im wordpad.exe"
• cmd.exe /c "taskkill /f /im tnslsnr.exe"

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}.{BLOCKED}.216.148/jquery.js?v=999999 → Used HTTP GET request

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します：$$ DATA $$

• 3dm
• 3ds
• 3fr
• 3g2
• 3gp
• 3pr
• 602
• 7z
• ps1
• 7zip
• aac
• ab4
• accdb
• accde
• accdr
• accdt
• ach
• acr
• act
• adb
• adp
• ads
• aes
• agdl
• ai
• aiff
• ait
• al
• aoi
• apj
• arc
• arw
• asc
• asf
• asm
• asp
• aspx
• asx
• avi
• awg
• back
• backup
• backupdb
• bak
• bank
• bat
• bay
• bdb
• bgt
• bik
• bin
• bkp
• blend
• bmp
• bpw
• brd
• c
• cdf
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• ce2
• cer
• cfg
• cgm
• cib
• class
• cls
• cmd
• cmt
• conf
• config
• contact
• cpi
• cpp
• cr2
• craw
• crt
• crw
• cs
• csh
• csl
• csr
• css
• csv
• dac
• dat
• db
• db3
• db_journal
• dbf
• dbx
• dc2
• dch
• dcr
• dcs
• ddd
• ddoc
• ddrw
• dds
• der
• des
• design
• dgc
• dif
• dip
• dit
• djv
• djvu
• dng
• doc
• docb
• docm
• docx
• dot
• dotm
• dotx
• drf
• drw
• dtd
• dwg
• dxb
• dxf
• dxg
• edb
• eml
• eps
• erbsql
• erf
• exf
• fdb
• ffd
• fff
• fh
• fhd
• fla
• flac
• flf
• flv
• flvv
• fpx
• frm
• fxg
• gif
• gpg
• gray
• grey
• groups
• gry
• gz
• h
• hbk
• hdd
• hpp
• html
• hwp
• ibank
• ibd
• ibz
• idx
• iif
• iiq
• incpas
• indd
• jar
• java
• jnt
• jpe
• jpeg
• jpg
• jsp
• jspx
• ashx
• js
• kc2
• kdbx
• kdc
• key
• kpdx
• kwm
• laccdb
• lay
• lay6
• ldf
• lit
• log
• lua
• m
• m2ts
• m3u
• m4p
• m4u
• m4v
• mapimail
• max
• mbx
• md
• mdb
• mdc
• mdf
• mef
• mfw
• mid
• mkv
• mlb
• mml
• mmw
• mny
• moneywell
• mos
• mov
• mp3
• mp4
• mpeg
• mpg
• mrw
• ms11
• msg
• myd
• myi
• nd
• ndd
• ndf
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• nvram
• nwb
• nx2
• nxl
• nyf
• oab
• obj
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• ogg
• oil
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pab
• pages
• paq
• pas
• pat
• pcd
• pct
• pdb
• pdd
• pdf
• pef
• pem
• pfx
• php
• pif
• pl
• plc
• plus_muhd
• png
• pot
• potm
• potx
• ppam
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prf
• ps
• psafe3
• psd
• pspimage
• pst
• ptx
• pwm
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• qcow
• qcow2
• qed
• r3d
• raf
• rar
• rat
• raw
• rb
• rdb
• rm
• rtf
• rvt
• rw2
• rwl
• rwz
• s3db
• safe
• sas7bdat
• sav
• save
• say
• sch
• sd0
• sda
• sdf
• sh
• sldm
• sldx
• slk
• sql
• sqlite
• sqlite3
• sqlitedb
• sr2
• srf
• srt
• srw
• st4
• st5
• st6
• st7
• so
• st8
• stc
• std
• sti
• stm
• stw
• stx
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• tar
• tar.bz2
• tbk
• tex
• tga
• tgz
• thm
• tif
• tiff
• tlg
• txt
• uop
• uot
• vb
• vbox
• vbs
• vdi
• vhd
• vhdx
• vmdk
• vmsd
• vmx
• vmxf
• vob
• wab
• wad
• wallet
• war
• wav
• wb2
• wk1
• wks
• wma
• wmv
• wpd
• wps
• x11
• x3f
• xis
• xla
• xlam
• xlc
• xlk
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• xml
• ycbcra
• yuv
• zip

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• desktop.ini
• autorun.inf
• netuser.dat
• iconcache.db
• thumbs.db
• bootfont.bin

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• For Windows:
  • EFI.Boot
  • EFI.Microsoft
  • Windows
  • Program Files
  • All Users
  • Boot
  • IEidcache
  • ProgramData
  • Local Settings
  • System Volume Information
  • AppData
  • Recycle.Bin
  • Recovery
• For Linux:
  
  • /bin
  • /boot
  • /sbin
  • /tmp
  • /etc
  • /lib
  • /proc
  • /dev
  • /sys
  • /usr/include
  • /usr/java

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .locked

マルウェアが作成する以下のファイルは、脅迫状です。

• {Infected Directory}\README.html