• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.HIDDENTEAR.B

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Temp%\update.{Random}.mwt
• %Program Data%\encryption.{10 Random Characters}.enc.key.plain
• %Program Data%\encryption.{10 Random Characters}.enc.key
• %Temp%\encryption.log → if already exist, it will not proceed to its malicious routine

(註：%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

マルウェアは、以下のプロセスを追加します。

• netsh advfirewall firewall add rule name="Port 80" dir=out action=block protocol=TCP remoteport=80
• netsh advfirewall firewall add rule name="Port 443" dir=out action=block protocol=TCP remoteport=443
• netsh advfirewall firewall add rule name="Port 4122out" dir=out action=block protocol=TCP remoteport=4122 localport=4122
• netsh advfirewall firewall add rule name="Port 4118-4119out" dir=out action=block protocol=TCP remoteport=4118-4119 localport=4118-4119
• netsh advfirewall firewall add rule name="Port 5274-5275out" dir=out action=block protocol=TCP remoteport=5274-5275 localport=5274-5275
• netsh advfirewall firewall add rule name="Port 4122in" dir=in action=block protocol=TCP remoteport=4122 localport=4122
• netsh advfirewall firewall add rule name="Port 4118-4119in" dir=in action=block protocol=TCP remoteport=4118-4119 localport=4118-4119
• netsh advfirewall firewall add rule name="Port 5274-5275in" dir=in action=block protocol=TCP remoteport=5274-5275 localport=5274-5275
• %Temp%\update.{Random}.mwt true %ProgramData%\encryption.{10 Random Characters}.enc.key.plain
• cmd /c "taskkill /F /IM {Target Process}"

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• via taskkill /F /IM:
  • pg_ctl.exe
  • postgres.exe
  • mysqld.exe
  • sqlservr.exe
  • sqlwriter.exe
  • sqlceip.exe

その他

マルウェアは、以下を実行します。

• It targets files and folders in local drives, network shares, and removable drives.
• It encrypts files related to Microsoft SQL which contain the following strings in their file path:
  • {Drive Letter}\Program Files\*MSSQL*
  • {Drive Letter}\Program Files (x86)\*MSSQL*
• It adds the following processes if these Windows Firewall rule exists:
  • netsh advfirewall firewall delete rule name="Port 80"
  • netsh advfirewall firewall delete rule name="Port 443"
  • netsh advfirewall firewall delete rule name="Port 4122in"
  • netsh advfirewall firewall delete rule name="Port 4118-4119in"
  • netsh advfirewall firewall delete rule name="Port 5274-5275in"
  • netsh advfirewall firewall delete rule name="Port 4122out"
  • netsh advfirewall firewall delete rule name="Port 4118-4119out"
  • netsh advfirewall firewall delete rule name="Port 5274-5275out"
• It requires a specific file name and path to proceed to its malicious routine. → "%Temp%\update.mwt"
  • When executed without this file name, it will repeatedly create %Temp%\update.{Random}.mwt until it crashed the system.
• It requires to be executed as an administrator.
  • When executed without admin privilege, it will encrypt network shares and will not create processes for Windows Firewall rules.

(註：%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

ランサムウェアの不正活動

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• .enc.key
• .enc
• .lnk
• .reg
• .sys
• .tmp
• @RANSOMWARE@README.md
• $Recycle.Bin
• $WinREAgent
• AppData
• desktop.ini
• Desktop.ini
• eScan
• file_encryption
• ntuser
• NTUSER
• PerfLogs
• Program Files
• Recovery
• Windows

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .enc

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\@RANSOMWARE@README.md
• {Encrypted path}\@RANSOMWARE@README.md
  

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• %Temp%\update.{ランダム}.mwt
• %Program Data%\encryption.{ランダムな10文字}.enc.key.plain
• %Program Data%\encryption.{ランダムな10文字}.enc.key
• %Temp%\encryption.log → すでに存在する場合、マルウェアは自身の不正活動を実行しません。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 「taskkill /F /IM」を使用して、以下のプロセスを終了します。
  • pg_ctl.exe
  • postgres.exe
  • mysqld.exe
  • sqlservr.exe
  • sqlwriter.exe
  • sqlceip.exe

その他

マルウェアは、以下を実行します。

• ローカルドライブ、ネットワーク上の共有ドライブ、リムーバブルドライブ内のファイルおよびフォルダを標的とします。
• ファイルパス内に以下の文字列を含むMicrosoft SQLに関連するファイルを暗号化します。
  • {ドライブ文字}\Program Files\*MSSQL*
  • {ドライブ文字}\Program Files (x86)\*MSSQL*
• 以下のWindowsファイアウォール規則が存在する場合、以下のプロセスが追加されます。
  • netsh advfirewall firewall delete rule name="Port 80"
  • netsh advfirewall firewall delete rule name="Port 443"
  • netsh advfirewall firewall delete rule name="Port 4122in"
  • netsh advfirewall firewall delete rule name="Port 4118-4119in"
  • netsh advfirewall firewall delete rule name="Port 5274-5275in"
  • netsh advfirewall firewall delete rule name="Port 4122out"
  • netsh advfirewall firewall delete rule name="Port 4118-4119out"
  • netsh advfirewall firewall delete rule name="Port 5274-5275out"
• マルウェアが自身の不正活動を実行するには、特定のファイル名およびパスが必要です。 → "%Temp%\update.mwt"
  • 上記のファイル名がない状態で実行された場合、感染コンピュータがクラッシュするまで 「%Temp%\update.{ランダム}.mwt」を繰り返し作成します。
• 管理者として実行される必要があります。
  • 管理者権限なしで実行された場合、マルウェアは、ネットワーク上の共有ドライブを暗号化しますが、Windowsファイアウォール規則のプロセスは作成しません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください