Trend Micro Security

Ransom.Win32.AGENDA.RY

2023年12月26日
 解析者: Raymart Christian Yambot   

 別名:

Gen:Variant.Zusy.515850 (BITDEFENDER)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。


  詳細

ファイルサイズ 4,188,160 bytes
タイプ EXE
メモリ常駐 なし
発見日 2023年12月18日
ペイロード ファイルの作成, ファイルの暗号化, システムのレジストリの変更, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • %Temp%\QLOG

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

マルウェアは、以下のファイルを作成します。

  • %Temp%\QLOG\ThreadId(Number).LOG

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

マルウェアは、以下のプロセスを追加します。

  • """{Malware file path}"" --password {String} --escalated --parent-sid ""S-1-5-21-2019512041-42308"
  • "cmd" /C fsutil behavior set SymlinkEvaluation R2R:1
  • "cmd" /C fsutil behavior set SymlinkEvaluation R2L:1
  • "cmd" /C net use
  • "cmd" /C wmic service where name='vss' call ChangeStartMode Manual
  • "cmd" /C net start vss
  • "cmd" /C vssadmin.exe delete shadows /all /quiet
  • "cmd" /C net stop vss
  • "cmd" /C wmic service where name='vss' call ChangeStartMode Disabled
  • "powershell" $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\LanmanServer\Parameters
MaxMpxCt = 65535

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

  • (.*?)sql(.*?).
  • acronisagent
  • acrsch2svc
  • backup
  • backupexecagentaccelerator
  • backupexecagentbrowser
  • backupexecdivecimediaservice
  • backupexecjobengine
  • backupexecmanagementservice
  • backupexecrpcservice
  • backupexecvssprovider
  • gxblr
  • gxcimgr
  • gxclmgrs
  • gxcvd
  • gxfwd
  • gxmmm
  • gxvss
  • gxvsshwprov
  • memtas
  • mepocs
  • msexchange
  • msexchange
  • msexchange\$
  • mvarmor
  • mvarmor64
  • pdvfsservice
  • qbcfmonitorservice
  • qbdbmgrn
  • qbidpservice
  • sap
  • sap\$
  • sapd\$
  • saphostcontrol
  • saphostexec
  • sapservice
  • sophos
  • sql
  • veeam
  • veeamdeploymentservice
  • veeamnfssvc
  • veeamtransportsvc
  • vmms
  • vsnapvss
  • vss
  • wsbexchange

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • agntsvc
  • avagent
  • avscc
  • bedbh
  • benetns
  • bengien
  • beserver
  • cagservice
  • cvd
  • cvfwd
  • cvmountd
  • cvods
  • dbeng50
  • dbsnmp
  • dellsystemdetect
  • encsvc
  • enterpriseclient
  • excel
  • firefox
  • infopath
  • isqlplussvc
  • msaccess
  • mspub
  • mvdesktopservice
  • mydesktopqos
  • mydesktopservice
  • notepad
  • ocautoupds
  • ocomm
  • ocssd
  • onenote
  • oracle
  • outlook
  • powerpnt
  • pvlsvr
  • qbcfmonitorservice
  • qbdbmgrn
  • qbidpservice
  • raw_agent_svc
  • sap
  • saphostexec
  • saposcol
  • sapstartsrv
  • sqbcoreservice
  • sql
  • steam
  • synctime
  • tbirdconfig
  • teamviewer
  • teamviewer_service
  • thebat
  • thunderbird
  • tv_w32
  • tv_x64
  • veeamdeploymentsvc
  • veeamnfssvc
  • veeamtransportsvc
  • visio
  • vmcompute
  • vmms
  • vmwp
  • vsnapvss
  • vxmon
  • winword
  • wordpad
  • xfssvccon

その他

マルウェアは、以下を実行します。

  • It terminates itself if it detects that the sample is being executed within a virtual environment.
  • It requires the correct input password to proceed in its intended routine.
  • Checks for the presence of the following processes:
    • wininit.exe
    • winlogon.exe
    • lsass.exe

マルウェアは、以下のパラメータを受け取ります。

  • --password {String} → Password to enter landing.
  • --paths {Directory} → Defines the path that parses directories; if this flag is used and left empty, all directories will be scanned.
  • --ips {IP Addresses} → Allows for providiing IP addresses.
  • --exclude {Directory} → Excluded directories for encryption.
  • --timer → Sets a time delay before execution.
  • --safe → Restart in safe mode.
  • --escalated → Execute the sample with admin privelege.
  • --parent-sid → Sets the Security Identifier
  • --no-domain → Disable encyption of domain area.
  • --no-network → Disable ecnryption of network area.
  • --no-ef → Disable extension filter.
  • --no-ff → Disable file filter.
  • --no-df → Disable directory filter.
  • --no-proc → Processes will not be terminated protocol driver not attached.
  • --no-service → Services will not be stopped.
  • --debugspread
  • --kill-cluster
  • --impersonate
  • --force
  • --print-image
  • --print-delay
  • --spreads
  • --spread-vcenter
  • --spread-process
  • --no-local
  • --no-extension
  • --no-wallpaper
  • --no-delete
  • --no-destruct
  • --no-zero
  • --no-escalate

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

  • #recycle
  • #recycle
  • autorun.inf
  • autorun.inf
  • autorun.ini
  • boot.ini
  • boot.ini
  • bootfont.bin
  • bootfont.bin
  • bootmgfw.efi
  • bootmgfw.efi
  • bootmgr
  • bootmgr
  • bootmgr.efi
  • bootmgr.efi
  • bootsect.bak
  • bootsect.bak
  • desktop.ini
  • desktop.ini
  • iconcache.db
  • iconcache.db
  • ntldr
  • ntldr
  • ntuser.dat
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.dat.log
  • ntuser.ini
  • ntuser.ini
  • thumbs.db
  • thumbs.db

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

  • $recycle.bin
  • $windows.~bt
  • $windows.~ws
  • admin$
  • admin$
  • appdata
  • appdata
  • application data
  • boot
  • boot
  • config.msi
  • google
  • intel
  • ipc$
  • mozilla
  • msocache
  • netlogon
  • perflogs
  • programdata
  • system volume information
  • sysvol
  • tor browser
  • windows
  • windows
  • windows.old
  • windows.old

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • {Original filename}.{Original Extension}.VayvEy6cPo.1

マルウェアが作成する以下のファイルは、脅迫状です。

  • {All Available Directories}\README-RECOVER-VayvEy6cPo.txt

以下のファイル拡張子を持つファイルについては暗号化しません:

  • 386
  • adv
  • ani
  • bat
  • bin
  • cmd
  • com
  • cpl
  • cur
  • deskthemepack
  • diagcab
  • diagcfg
  • diapkg
  • dll
  • drv
  • exe
  • hlp
  • hta
  • icl
  • icns
  • ico
  • ics
  • idx
  • key
  • lnk
  • lock
  • mod
  • mpa
  • msc
  • msi
  • msp
  • msstyles
  • msu
  • nls
  • nomedia
  • ocx
  • pdb
  • prf
  • ps1
  • rom
  • rtp
  • scr
  • shs
  • spl
  • sys
  • theme
  • themepack
  • VayvEy6cPo
  • wpx


  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.902.03
初回 VSAPI パターンリリース日 2023年12月26日
VSAPI OPR パターンバージョン 18.903.00
VSAPI OPR パターンリリース日 2023年12月27日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

    • Troj.Win32.TRX.XXPE50FFF075

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • EnableLinkedConnections  = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Parameters
    • MaxMpxCt = 65535

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %Temp%\QLOG\ThreadId(Number).LOG
  • {All Available Directories}\README-RECOVER-VayvEy6cPo.txt

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Temp%\QLOG

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.AGENDA.RY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

暗号化されたファイルをバックアップから復元します。


ご利用はいかがでしたか? アンケートにご協力ください