Ransom.Win32.AGENDA.YPEFR

2024年6月21日

解析者: Leidryn Saludez

別名:

Ransom:Win32/Qilinloader.AL!MTB (MICROSOFT)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 5,254,144 bytes

タイプ EXE

メモリ常駐なし

発見日 2024年6月18日

ペイロードファイルの作成, ファイルの暗号化, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

%Temp%\QLOG\ThreadId(Number).LOG → logs execution status

マルウェアは、以下のプロセスを追加します。

"cmd" /C fsutil behavior set SymlinkEvaluation R2R:1
"cmd" /C fsutil behavior set SymlinkEvaluation R2L:1
"cmd" /C net use
"cmd" /C wmic service where name='vss' call ChangeStartMode Manual
"cmd" /C net start vss
"cmd" /C vssadmin.exe delete shadows /all /quiet
"cmd" /C net stop vss
"cmd" /C wmic service where name='vss' call ChangeStartMode Disabled
"powershell" $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}
"powershell" -Command "Import-Module ActiveDirectory ; Get-ADComputer -Filter * | Select-Object -ExpandProperty DNSHostName"
"powershell" -Command "ServerManagerCmd.exe -i RSAT-AD-PowerShell ; Install-WindowsFeature RSAT-AD-PowerShell ; Add-WindowsCapability -Online -Name 'RSAT.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0'"

マルウェアは、以下のフォルダを作成します。

%Temp%\QLOG

(註：%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
*vxvjgf = "{Malware file path}" --password {String} --no-admin

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\LanmanServer\Parameters
MaxMpxCt = 65535

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
SymlinkRemoteToRemoteEvaluation = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
SymlinkRemoteToLocalEvaluation = 1

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

vmms
mepocs
memtas
veeam
backup
vss
sql
msexchange
sophos
msexchange
msexchange\$
wsbexchange
pdvfsservice
backupexecvssprovider
backupexecagentaccelerator
backupexecagentbrowser
backupexecdivecimediaservice
backupexecjobengine
backupexecmanagementservice
backupexecrpcservice
gxblr
gxvss
gxclmrs
gxcvd
gxcimgr
gxmmm
gxvsshwprov
gxfwd
sapservice
sap
sap\$
sapd\$
saphostcontrol
saphostexec
qbcfmonitorservice
qbdbmgrn
qbidpservice
acronisagent
veeamnfssvc
veeamdeploymentservice
veeamtransportsvc
mvarmor
mvarmor64
vsnapvss
acrsch2svc
(.*?)sql(.*?)

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

vmms
vmwp
vmcompute
agntsvc
dbeng50
dbsnmp
encsvc
excel
firefox
infopath
isqlplussvc
sql
msaccess
mspub
mydesktopqos
mydesktopservice
notepad
ocautoupds
ocomm
ocssd
onenote
oracle
outlook
powerpnt
sqbcoreservice
steam
synctime
tbirdconfig
thebat
thunderbird
visio
winword
wordpad
xfssvccon
bedbh
vxmon
benetns
bengien
pvlsvr
beserver
raw_agent_svc
vsnapvss
cagservice
qbidpservice
qbdbmgrn
qbcfmonitorservice
sap
teamviewer_service
teamviewer
tv_w32
tv_x64
cvmountd
cvd
cvfwd
cvods
saphostexec
saposcol
sapstartsrv
avagent
avscc
dellsystemdetect
enterpriseclient
veeamnfssvc
veeamtransportsvc
veeamdeploymentsvc
mvdesktopservice

その他

マルウェアは、以下を実行します。

It terminates itself if it detects that the sample is being executed within a virtual environment.
It requires the correct input password to proceed in its intended routine.
Impersonates the privileges of the following process:
- wininit.exe
- winlogon.exe
- lsass.exe

マルウェアは、以下のパラメータを受け取ります。

--password {String} → password to enter before proceeding with its intended routine
--paths {Directory} → defines the path that parses directories; if this flag is used and left empty, all directories will be scanned
--ips {IP Addresses} → Allows for providiing IP addresses
--excludes {directory} → exclude directory for encryption
--timer → Sets a time delay before execution.
--no-sandbox
--no-escalate
--impersonate
--safe
--no_priority
--should_be_admin
--no-local
--no-domain
--no-network
--no-ef
--no-ff
--no-df
--no-proc
--no-services
--no-vmkill-cluster
--no-extension
--no-wallpaper
--no-note
--no-destruct
--no-zero
--print-image
--print-delay
--force
--spreads
--debugspread
--spread-vcenter
--dry-run

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

desktop.ini
autorun.ini
ntldr
bootsect.bak
thumbs.db
boot.ini
ntuser.dat
iconcache.db
bootfont.bin
ntuser.ini
ntuser.dat.log
autorun.inf
bootmgr
bootmgr.efi
bootmgfw.efi
#recycle
autorun.inf
boot.ini
bootfont.bin
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
#recycle
bootsect.bak

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

windows
system volume information
intel
admin$
ipc$
sysvol
netlogon
$windows.~ws
application data
mozilla
program files (x86)
program files
$windows.~bt
msocache
tor browser
programdata
boot
config.msi
google
perflogs
appdata
windows.old
appdata
boot
windows
windows.old
$recycle.bin
admin$

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

{Original filename}.{Original Extension}.CcXB9wE4s7.{Random}

マルウェアが作成する以下のファイルは、脅迫状です。

{All Available Directories}\README-RECOVER-CcXB9wE4s7.txt

以下のファイル拡張子を持つファイルについては暗号化しません：

themepack
nls
diapkg
msi
lnk
exe
scr
bat
drv
rtp
msp
prf
msc
ico
key
ocx
diagcab
diagcfg
pdb
wpx
hlp
icns
rom
dll
msstyles
mod
ps1
ics
hta
bin
cmd
ani
386
lock
cur
idx
sys
com
deskthemepack
shs
theme
mpa
nomedia
spl
cpl
adv
icl
msu
CcXB9wE4s7

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 19.412.03

初回 VSAPI パターンリリース日 2024年6月18日

VSAPI OPR パターンバージョン 19.413.00

VSAPI OPR パターンリリース日 2024年6月19日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

Troj.Win32.TRX.XXPE50FFF081

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- *vxvjgf = {Malware file path} --password {String} --no-admin
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Parameters
- MaxMpxCt = 65535
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem
- SymlinkRemoteToRemoteEvaluation = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem
- SymlinkRemoteToLocalEvaluation = 1

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Temp%\QLOG

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Temp%\QLOG\ThreadId(Number).LOG
{All Available Directories}\README-RECOVER-CcXB9wE4s7.txt

手順 7

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.AGENDA.YPEFR」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください