Trend Micro Security

Ransom.PS1.NEDIB.THCBIBD

2024年4月18日
 解析者: Leidryn Saludez   

 別名:

PwrSh:Agent-AV [Ransom] (AVAST)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のフォルダ内のファイルを暗号化します。 身代金要求文書のファイルを作成します。


  詳細

ファイルサイズ 10,033 bytes
タイプ PS1
メモリ常駐 なし
発見日 2024年3月21日
ペイロード 画像の表示, ファイルの暗号化, ファイルの作成, URLまたはIPアドレスに接続, システム情報の収集, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • "%System%\NOTEPAD.EXE" %Desktop%\README.txt

(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\control panel\desktop
wallpaper = %Temp%\photo.jpg

情報漏えい

マルウェアは、以下の情報を収集します。

  • satellite:IP
    • IP address
  • bust_in_silhouette: User Information
    • Language
    • Current date and time
    • User Name
    • Computer Name
  • shield: Antivirus
    • Installed antivirus software
  • computer: Hardware
    • Display resolution
    • OS version
    • OS build
    • Manufacturer
    • Model
    • CPU name
    • GPU name
    • RAM
    • UUID
    • MAC address
    • Uptime
  • floppy_disk: Disk
    • All disk information

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • .7z
  • .docx
  • .gif
  • .gz
  • .ini
  • .jpg
  • .pdf
  • .psd
  • .png
  • .rtf
  • .txt
  • .zip
  • .accd
  • .avi
  • .csv
  • .doc
  • .jpeg
  • .midi
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpeg2
  • .mpeg3
  • .mpg
  • .ogg
  • .ppt
  • .xls

マルウェアは、以下を実行します。

  • It deletes all shadow copies on the system.
  • It attempts to download from this URL to use as wallpaper
    • https://{BLOCKED}fshore.cat/HrD5nI4Z.cat → %Temp%\photo.jpg

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • %Downloads%

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .biden

マルウェアが作成する以下のファイルは、脅迫状です。

  • %Desktop%\README.txt

<補足>
情報漏えい

マルウェアは、以下の情報を収集します。

  • satellite:IP
    • IPアドレス
  • bust_in_silhouette: User Information
    • 言語
    • 現在の日付および時刻
    • ユーザ名
    • コンピュータ名
  • shield: Antivirus
    • インストールされているウイルス対策ソフトウェア
  • computer: Hardware
    • ディスプレイの解像度
    • オペレーティングシステム(OS)のバージョン
    • OSビルド
    • 製造元
    • モデル
    • CPU名
    • GPU名
    • RAM
    • UUID
    • MACアドレス
    • 稼働時間
  • floppy_disk: Disk
    • すべてのディスク情報

    その他

  • マルウェアは、以下を実行します。
    • 感染コンピュータ上のすべてのシャドウコピーを削除します。
    • 壁紙として使用するために以下のURLからのダウンロードを試みます。
      • https://{BLOCKED}fshore.cat/HrD5nI4Z.cat → %Temp%\photo.jpg


      対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 19.246.03
    初回 VSAPI パターンリリース日 2024年3月29日
    VSAPI OPR パターンバージョン 19.247.00
    VSAPI OPR パターンリリース日 2024年3月30日

    手順 1

    Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    デスクトッププロパティを修正します。

    [ 詳細 ]
  • Windows 98、ME、NTおよび2000の場合

    1. 「コントロールパネル」を開いてください。[スタート]-[設定]-[コントロールパネル]をクリックします。
    2. コントロールパネル内の[画面]をダブルクリックします。
    3. [画面のプロパティ]の[Web]タブを選択します。
    4. Webページ一覧内のチェックボックスをオフにします。
    5. また、アクティブデスクトップ機能を無効にする場合には、[Active DesktopにWebコンテンツを表示]のチェックボックスをオフにしてください。
    6. [適用]をクリックし、[OK]をクリックすると、設定が適用され保存されます。

  • Windows XP および Server 2003 の場合

    1. 「コントロールパネル」を開いてください。[スタート]-[コントロールパネル]をクリックします。
    2. [コントロールパネル]の[画面]をダブルクリックします。
    3. [画面のプロパティ]の[デスクトップ]タブから[デスクトップのカスタマイズ]を選択し、[デスクトップ項目]の[Web]タブを選択します。
    4. [Webページ]内のチェックボックスをオフにします。
    5. [適用]をクリックし、[OK]をクリックすると、設定が適用され保存されます。

手順 3

暗号化されたファイルをバックアップから復元します。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.PS1.NEDIB.THCBIBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください