• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.SEKHMET.A

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\syscfg.db
• {Encrypted Directory}\{8 random characters}.lnk -> deleted afterwards

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{16 characters}

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msftesql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlwriter.exe
• oracle.exe
• ocssd.exe
• dbsnmp.exe
• synctime.exe
• agntsvc.exe
• isqlplussvc.exe
• xfssvccon.exe
• sqlservr.exe
• mydesktopservice.exe
• ocautoupds.exe
• encsvc.exe
• firefoxconfig.exe
• tbirdconfig.exe
• mydesktopqos.exe
• ocomm.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• dbeng50.exe
• sqbcoreservice.exe
• excel.exe
• infopath.exe
• msaccess.exe
• mspub.exe
• onenote.exe
• outlook.exe
• powerpnt.exe
• sqlservr.exe
• thebat.exe
• steam.exe
• thebat64.exe
• thunderbird.exe
• visio.exe
• winword.exe
• wordpad.exe
• QBW32.exe
• QBW64.exe
• ipython.exe
• wpython.exe
• python.exe
• dumpcap.exe
• procmon.exe
• procmon64.exe
• procexp.exe
• procexp64.exe

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.126.81
• {BLOCKED}.{BLOCKED}.126.82
• {BLOCKED}.{BLOCKED}.126.83
• {BLOCKED}.{BLOCKED}.126.84
• {BLOCKED}.{BLOCKED}.126.85
• {BLOCKED}.{BLOCKED}.126.86
• {BLOCKED}.{BLOCKED}.126.87
• {BLOCKED}.{BLOCKED}.126.88
• {BLOCKED}.{BLOCKED}.126.89

マルウェアは、以下を実行します。

• It gathers the following information:
  • Product Name
  • Display Name
  • Drive Info
  • AV Info
  • Computer Name
  • User Name
  • Machine GUID
• It encrypts all available drives including network drives.
• It gathers the following Environment Variable values:
  • ALLUSERSPROFILE
  • APPDATA
  • CommonProgramFiles
  • COMPUTERNAME
  • Comspec
  • FP_NO_HOST_CHECK
  • HOMEDRIVE
  • HOMEPATH
  • LOCALAPPDATA
  • LOGONSERVER
  • NUMBER_OF_PROCESSORS
  • OS
  • Path
  • PROCESSOR_ARCHITECTURE
  • PROCESSOR_IDENTIFIER
  • PROCESSOR_LEVEL
  • PROCESSOR_REVISION
  • ProgramData
  • ProgramFiles
  • PSModulePath
  • PUBLIC
  • SESSIONNAME
  • SystemDrive
  • SystemRoot
  • TEMP
  • TMP
  • USERDOMAIN
  • USERNAME
  • USERPROFILE
  • windir
  • windows_tracing_flags
  • windows_tracing_logfile

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• boot.ini
• desktop.ini
• ntuser.dat
• iconcache.db
• bootsect.bak
• ntuser.dat.log
• thumbs.db
• Bootfont.bin

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• \Windows
• \Program Files
• \Program Data
• \Tor Browser
• \cache2\entries
• \Low\Content IE5\
• \User Data\Default\Cache
• \All Users

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Encrypted Directory}\{Encrypted file}.{Random characters}

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\RECOVER-FILES.txt
  
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• sys
• exe
• dll
• lnk

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください