Ransom.Win64.TRIGONA.B

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c\"bcdedit /set{default} recoveryenabled No\"
• %System%\cmd.exe /c\"bcdedit /set {default} bootstatuspolicy ignoreallfailures\"
• %System%\cmd.exe /c\"wbadmin DELETE BACKUP -keepVersions:0\"
• %System%\cmd.exe /c\"wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0\"
• %System%\cmd.exe /c\"wmic SHADOWCOPY DELETE\"
• %System%\cmd.exe /c\"vssadmin delete shadows /all /quiet\"
• %System%\mshta.exe %User Temp%\how_to_decrypt.hta

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {Generated ID} → Derived from computer name and creation time of %Windows%

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer Name
• Username
• OS Version
• System Locale
• Keyboard Layout
• Disk Data
• Network Configuration Information

その他

マルウェアは、以下を実行します。

• By default, It encrypt local drives and network drives
• It displays its ransom note after encryption
• It loads its configuration found in its resource section named CFGS.
• It checks for the presence of the following file that serves as its configuration file:
  • cfgs.txt
• It encrypts the information it gathers and stores it in the authentication key required during the negotiation procedures to retrieve files
• It can terminate processes and services based on the configuration.

マルウェアは、以下のパラメータを受け取ります。

• /r → encrypt files in random order
• /sleep → sleep for n seconds before execution
• /full → encrypt the whole contents of a file (by default, only the first 0x80000 bytes/512kb are encrypted)
• /debug → execute in debug mode, need to be executed with /p
• /log_f → for logging, specify the log file
• /fast
• /erase → delete contents of a file
• /is_testing → for testing purposes, used with /test_cid and /test_vid
• /test_cid → Use the specified value instead of generating a computer ID
• /test_vid → Use the specified value instead of the hardcoded victim ID (VID) from the configuration
• /p → specify path to encrypt
• /path → specify path to encrypt
• /!local → Do not encrypt local files
• /!lan → Do not encrypt network shares
• /shdwn → Turn off the machine after encryption using the parameter -f -s -t 00
• /allow_system → Allows encrypting files in system directory
• /!clear_shadow → Do not delete shadow copies
• /wipe
• /block
• /step
• /band_start
• /!prerename → Do not rename files before encryption
• /delete → Deletes itself after execution
• /priority → Sets encryption priority
• /clear_exclude
• /ips
• /stealth → Do not rename encrypted files, needs to be executed with /p
• /e

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• how_to_decrypt.hta
• how_to_decrypt.txt
• NTUSER.DAT

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• windows
• system32

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• available_for_trial.{random}._locked
• {random}._locked

マルウェアが作成する以下のファイルは、脅迫状です。

• %User Temp%\how_to_decrypt.hta
• {Encrypted Directory}\how_to_decrypt.hta