Ransom.Win32.DARKSIDE.YXAH-THA

2020年8月17日

解析者: Alyssa Christelle Ramos

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 17,408 bytes

タイプ EXE

メモリ常駐はい

発見日 2020年8月12日

ペイロードファイルの暗号化, メッセージボックスの表示, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

{Malware Directory}\LOG.{Appended Extension}.TXT ? Log File

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

vss
sql
svc$
memtas
mepocs
sophos
veeam
backup

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

sql
oracle
ocssd
dbsnmp
synctime
agntsvc
isqlplussvc
xfssvccon
mydesktopservice
ocautoupds
encsvc
firefox
tbirdconfig
mydesktopqos
ocomm
dbeng50
sqbcoreservice
excel
infopath
msaccess
mspub
onenote
outlook
powerpnt
steam
thebat
thunderbird
visio
winword
wordpad
notepad

その他

マルウェアは、以下を実行します。

It checks if its privilege level is on SYSTEM level. If it is, it will impersonate the user that ran the first explorer.exe it has found.
It searches for files to encrypt in fixed drives, removable drives, and network resources.
It is capable of deleting shadow copies.
It is capable of emptying Recycle Bin.

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

autorun.inf
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
LOG.{Appended Extension}.TXT
README.{Appended extension}.TXT

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

$recycle bin
config.msi
$windows.~bt
$windows.~ws
windows
appdata
application data
boot
google
mozilla
program files
program files (x86)
program data
system volume information
tor browser
windows.old
intel
msocache
perflogs
x64dbg
public
all users
default

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.{Generated Characters from Mac Address}

マルウェアが作成する以下のファイルは、脅迫状です。

{Encrypted Directory}\README.{Appended Extension}.TXT

以下のファイル拡張子を持つファイルについては暗号化しません：

.386
.adv
.ani
.bat
.cab
.cmd
.com
.cpl
.cur
.deskthemepack
.diagcab
.diagcfg
.diagpkg
.dll
.drv
.exe
.hlp
.icl
.icns
.ico
.ics
.idx
.ldf
.lnk
.mod
.mpa
.msc
.msp
.msstyles
.msunls
.nomedia
.ocx
.prf
.ps1
.rom
.rtp
.scr
.sys
.theme
.themepack
.wpx
.lock
.key
.hta
.msi
.pdb
.{Appended Extension}

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 16.170.06

初回 VSAPI パターンリリース日 2020年8月17日

VSAPI OPR パターンバージョン 16.171.00

VSAPI OPR パターンリリース日 2020年8月18日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

Troj.Win32.TRX.XXPE50FFF036

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

「Ransom.Win32.DARKSIDE.YXAH-THA」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

LOG.{Appended Extension}.TXT
README.{Appended extension}.TXT

手順 6

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください