Ransom.Linux.AGENDA.YXDKOT
2024年10月4日
別名:
Ransom:Linux/Qilin.A!MTB (MICROSOFT)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
特定のファイル拡張子を持つファイルを暗号化します。 特定のフォルダ内のファイルを暗号化します。 身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。
詳細
ファイルサイズ 1,386,992 bytes
タイプ ELF
メモリ常駐 なし
発見日 2023年11月15日
ペイロード ファイルの暗号化
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- If the system has sufficient memory resources:
- for I in $(esxcli storage filesystem list |grep 'VMFS-5' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk; vmkfstools -U $I/eztDisk; done
- for I in $(esxcli storage filesystem list |grep 'VMFS-6' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk; vmkfstools -U $I/eztDisk; done
- Otherwise:
- for I in $(esxcli storage filesystem list |grep 'VMFS-5' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk > /dev/null; vmkfstools -U $I/eztDisk > /dev/null; done
- for I in $(esxcli storage filesystem list |grep 'VMFS-6' |awk '{print $1}'); do vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk > /dev/null; vmkfstools -U $I/eztDisk > /dev/null; done"
- esxcfg-advcfg -s 32768 /BufferCache/MaxCapacity
- esxcfg-advcfg -s 20000 /BufferCache/FlushInterval
- esxcli vm process list
- esxcli vm process kill -t force -w %llu
- vim-cmd vmsvc/getallvms
- vim-cmd vmsvc/snapshot.removeall %llu > /dev/null 2>&1
その他
マルウェアは、以下を実行します。
- It avoids terminating the following processes:
- kvm
- qemu
- xen
- It is capable of modifying the motd content.
マルウェアは、以下のパラメータを受け取ります。
- -d | --debug → Enable debug mode (logging level set to DEBUG, disables backgrounding)
- --dry-run → Perform scan for files to be processed. Does not modify them.
- -h | --help → Display list of commands
- -l | --log-level {number} → Set logging level. Values are from 0 for FATAL up to 5 for DEBUG
- --no-df → Ignore configured white-/black- lists of directories
- --no-ef → Ignore configured white-/black- lists of extensions
- --no-ff → Ignore configured white-/black- lists of files
- --no-proc-kill → Disables process kill
- -R | --no-rename → Disables rename of completed files
- --no-snap-rm → Disables snapshot deletion
- --no-vm-kill → Disables VM kill
- -p | --path {string} → Specifies top-level directory for files search
- --password {string} → Password for startup
- -r | --rename → Enables rename of completed files (default)
- -t | --timer {number} → Enabled timed delay before encryption (seconds)
- -w | --whitelist → Use whitelists for inclusion instead of blacklists for exclusion (default behavior)
- -y | --yes → Assume answer 'yes' on all questions (script mode)
ランサムウェアの不正活動
以下の拡張子を持つファイルを暗号化します:$$ DATA $$
- 3ds
- 3g2
- 3gp
- 7z
- aac
- abw
- ac3
- accdb
- ai
- aif
- aiff
- amr
- apk
- app
- asf
- asx
- atom
- avi
- bak
- bat
- bmp
- bup
- bz2
- cab
- cbr
- cbz
- cda
- cdr
- chm
- class
- cmd
- conf
- cow
- cpp
- cr2
- crdownload
- cs
- csv
- cue
- cur
- dat
- db
- dbf
- dds
- deb
- der
- desktop
- dmg
- dng
- doc
- docm
- dot
- dotm
- dotx
- dpx
- drv
- dtd
- dvi
- dwg
- dxf
- eml
- eps
- epub
- f4v
- fnt
- fon
- gam
- ged
- gif
- gpx
- gz
- h264
- hdr
- hpp
- hqx
- htm
- html
- ibooks
- ico
- ics
- iff
- image
- img
- indd
- iso
- jar
- java
- jfif
- jpe
- jpeg
- jpf
- jpg
- js
- json
- jsp
- key
- kml
- kmz
- log
- m4a
- m4b
- m4p
- m4v
- mcd
- mdbx
- mht
- mid
- mkv
- ml
- mobi
- mov
- mp3
- mp4
- mpa
- mpeg
- mpg
- msg
- nes
- numbers
- odp
- ods
- odt
- ogg
- ogv
- otf
- ova
- ovf
- pages
- parallels
- pcast
- pct
- pdb
- pds
- pef
- php
- pkg
- pl
- plist
- png
- pptm
- prproj
- ps
- psd
- ptx
- py
- qcow
- qcow2
- qed
- qt
- r3d
- ra
- rar
- rm
- rmvb
- rtf
- rv
- rw2
- sh
- shtml
- sit
- sitx
- sketch
- spx
- sql
- srt
- svg
- swf
- tar
- tga
- tgz
- thmx
- tif
- tiff
- torrent
- ttf
- txt
- url
- vdi
- vhd
- vhdx
- vmdk
- vmem
- vob
- vswp
- vvfat
- wav
- wbmp
- webm
- webp
- wm
- wma
- wmv
- wpd
- wps
- xhtml
- xlsm
- xml
- xspf
- xvid
- yaml
- yml
- zip
- zipx
マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。
- /backup
- /data
- /home
- /kvm
- /media
- /mnt
- /opt/virtualbox
- /srv
- /tmp
- /usr/home
- /usr/local/www
- /var/lib/cassandra
- /var/lib/couchdb
- /var/lib/docker
- /var/lib/elasticsearch
- /var/lib/influxdb
- /var/lib/libvirt
- /var/lib/mongodb
- /var/lib/mysql
- /var/lib/neo4j
- /var/lib/postgresql
- /var/lib/redis
- /var/lib/riak
- /var/lib/vmware
- /var/lib/xen
- /var/mail
- /var/opt/xen
- /var/run/sr-mount
- /var/spool/mail
- /var/vm
- /var/www
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- basemisc.tgz
- boot.cfg
- bootpart.gz
- features.gz
- imgdb.tgz
- initrd
- jumpstrt.gz
- onetime.tgz
- state.tgz
- useropts.gz
- vmlinuz
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- /bin/
- /boot/
- /dev/
- /etc/
- /healthd/
- /lib/
- /lib64/
- /mbr/
- /proc/
- /run/
- /sys/
- /vdtc/
- /vmware/lifecycle/
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- gQ_UbazLFd
マルウェアが作成する以下のファイルは、脅迫状です。
- {Path to Encrypted File}/gQ_UbazLFd_RECOVER.txt
以下のファイル拡張子を持つファイルについては暗号化しません:
- b00
- b01
- b02
- b03
- b04
- b05
- b06
- b07
- b08
- b09
- t00
- t01
- t02
- t03
- t04
- t05
- t06
- t07
- t08
- t09
- v00
- v01
- v02
- v03
- v04
- v05
- v06
- v07
- v08
- v09
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.830.03
初回 VSAPI パターンリリース日 2023年11月20日
VSAPI OPR パターンバージョン 18.831.00
VSAPI OPR パターンリリース日 2023年11月21日
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.ELF.TRX.XXELFC1DFF044
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Linux.AGENDA.YXDKOT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 3
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください