Ransom.Win32.STOP.THDOEBD
Trojan:Win32/Amadey.ADY!MTB (MICROSOFT)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- %AppDataLocal%\{UUID 1}
- %AppDataLocal%\{UUID 2}
- %System Root%\SystemID
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %AppDataLocal%\{UUID 1}\{Malware Name}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
マルウェアは、以下のファイルを作成します。
- %User Temp%\delself.bat ← deletes the malware if it is found to be executing on a system that is located in particular countries
- %System%\Tasks\Time Trigger Task ← creates scheduled task for the malware
- %AppDataLocal%\bowsakkdestx.txt ← contains the public key and system encryption identifier, deleted afterwards
- %System Root%\SystemID\PersonalID.txt ← unique identifier for the affected system
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のプロセスを追加します。
- {Malware File Path}\{Malware Name} "{Malware File Path}\{Malware Name}"
- icacls "%AppDataLocal%\{UUID 1}" /deny *S-1-1-0:(OI)(CI)(DE,DC) ← protect this path/folder
- {Malware File Path}\{Malware Name} --Admin IsNotAutoStart IsNotTask
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}
- {FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}
- IESQMMUTEX_0_208
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SysHelper = %AppDataLocal%\{UUID 1}\{Malware File Name} --AutoStart
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
SysHelper = 1
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- http://{BLOCKED}q.com/test1/get.php?pid={MAC ADDRESS HASH} ← used to receive public key and system encryption identifier for the affected system.
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}q.com/files/1/build3.exe
- http://{BLOCKED}my.com/dl/build2.exe
ただし、情報公開日現在、このWebサイトにはアクセスできません。
情報漏えい
マルウェアは、以下の情報を収集します。
- IP Address
- MAC Address
- Computer Name
- User Name
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://{{BLOCKED}p.ua/geo.json -->
- It terminates and deletes itself on the affected system if the return of the IP address location is any of the following:
- RU (Russia)
- BY (Belarus)
- UA (Ukraine)
- AZ (Azerbaijan)
- AM (Armenia)
- TJ (Tajikistan)
- KZ (Kazakhstan)
- KG (Kyrgyzstan)
- UZ (Uzbekistan)
- SY (Syrian Arab Republic)
マルウェアは、以下を実行します。
- It checks if it is running on Windows XP or lower Windows versions. If this condition is met, it will check for a service named "MYSQL" and terminate it.
- It tries to open the following file(s):
- I:\5d2860c89d774.jpg
マルウェアは、以下のパラメータを受け取ります。
- --Admin → the malware is executed with admin privileges
- --AutoStart → the malware is executed using autorun registry key(s)
- --Task → the malware is executed using the created scheduled task
- IsAutoStart/IsNotAutoStart → executes malware as an autostart or not
- IsTask/IsNotTask → executes malware as a scheduled task or not
以下のスケジュールされたタスクを追加します:
- Task Name: Azure-Update-Task
Task Action: %Application Data%\Microsoft\Network\mstsca.exe - Task Name: Time Trigger Task
Task Action: %AppDataLocal\{Malware Name} --Task
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- ntuser.dat
- ntuser.dat.LOG1
- ntuser.dat.LOG2
- ntuser.pol
- _readme.txt
マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。
- %Program Files%\Google
- %Program Files%\Internet Explorer
- %Program Files%\Mozilla Firefox
- %System Root%\dell
- %System Root%\Games
- %System Root%\Intel
- %System Root%\MSOCache
- %System Root%\PerfLogs
- %System Root%\ProgramData
- %System Root%\Recovery
- %System Root%\SystemID
- %System Root%\Windows
- %System Root%\Windows.old
- {Drive Letter}\dell
- {Drive Letter}\Games
- {Drive Letter}\Intel
- {Drive Letter}\MSOCache
- {Drive Letter}\PerfLogs
- {Drive Letter}\Windows
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .xaro
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\_readme.txt
以下のファイル拡張子を持つファイルについては暗号化しません:
- .ini
- .DLL
- .dll
- .blf
- .bat
- .lnk
- .regtrans-ms
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\delself.bat ← 特定の国に位置するコンピュータ上でマルウェアが実行されていることが判明した場合、マルウェアを削除する
- %System%\Tasks\Time Trigger Task ← マルウェアに対するスケジュールされたタスクを作成する
- %AppDataLocal%\bowsakkdestx.txt ← 公開鍵および暗号化の際に用いられるコンピュータの識別子を含む。後に削除される
- %System Root%\SystemID\PersonalID.txt ← 影響を受けるコンピュータの一意の識別子
マルウェアは、以下のプロセスを追加します。
- {マルウェアのファイルパス}\{マルウェアの名前} "{マルウェアのファイルパス}\{マルウェアの名前}"
- icacls "%AppDataLocal%\{UUID 1}" /deny *S-1-1-0:(OI)(CI)(DE,DC) ← このパス/フォルダを保護するためのプロセス
- {マルウェアのファイルパス}\{マルウェアの名前} --Admin IsNotAutoStart IsNotTask
バックドア活動
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
http://{BLOCKED}q.com/test1/get.php?pid={MACアドレスのハッシュ} ← 影響を受けるコンピュータの公開鍵および暗号化の際に用いられるコンピュータの識別子を受け取るために使用される
情報漏えい
マルウェアは、以下の情報を収集します。
- IPアドレス
- MACアドレス
- コンピュータ名
- ユーザ名
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://{{BLOCKED}p.ua/geo.json -->
- マルウェアは、IPアドレスの位置情報の戻り値が以下のいずれかである場合、感染コンピュータ上で自身を終了し削除します。
- RU (ロシア)
- BY (ベラルーシ)
- UA (ウクライナ)
- AZ (アゼルバイジャン)
- AM (アルメニア)
- TJ (タジキスタン)
- KZ (カザフスタン)
- KG (キルギス)
- UZ (ウズベキスタン)
- SY (シリア・アラブ共和国)
- マルウェアは、IPアドレスの位置情報の戻り値が以下のいずれかである場合、感染コンピュータ上で自身を終了し削除します。
- Windows XPまたはそれ以前のバージョンのWindows上で実行されているかどうかを確認します。この条件が満たされた場合、「MYSQL」という名前のサービスを確認し、終了します。
- 以下のファイルの開封を試みます。
- I:\5d2860c89d774.jpg
- --Admin → 管理者権限を用いてマルウェアを実行するためのパラメータ
- --AutoStart → 自動実行レジストリキーを用いてマルウェアを実行するためのパラメータ
- --Task → 作成されたスケジュールタスクを用いてマルウェアを実行するためのパラメータ
- IsAutoStart/IsNotAutoStart → 自動実行時にマルウェアを実行する/しないためのパラメータ
- IsTask/IsNotTask → スケジュールされたタスクとしてマルウェアを実行する/しないためのパラメータ
- 以下のスケジュールされたタスクを追加します:
- タスク名: Azure-Update-Task
- タスクのアクション: %Application Data%\Microsoft\Network\mstsca.exe
- タスク名: Time Trigger Task
- タスクのアクション: %AppDataLocal\{マルウェアの名前} --Task
対応方法
対応検索エンジン: 9.800初回 VSAPI パターンバージョン 19.260.02初回 VSAPI パターンリリース日 2024年4月5日VSAPI OPR パターンバージョン 19.261.00VSAPI OPR パターンリリース日 2024年4月6日手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF079
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
以下のファイルを検索し削除します。
[ 詳細 ]コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。- %User Temp%\delself.bat
- %System%\Tasks\Time Trigger Task
- %AppDataLocal%\bowsakkdestx.txt
- %System Root%\SystemID\PersonalID.txt
- %AppDataLocal%\{UUID 1}\{Malware Name}
手順 5
以下のフォルダを検索し削除します。
[ 詳細 ]註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。- %AppDataLocal%\{UUID 1}
- %AppDataLocal%\{UUID 2}
- %System Root%\SystemID
手順 6
このレジストリ値を削除します。
[ 詳細 ]警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SysHelper = %AppDataLocal%\{UUID 1}\{Malware Name} --AutoStart
- SysHelper = %AppDataLocal%\{UUID 1}\{Malware Name} --AutoStart
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- SysHelper = 1
- SysHelper = 1
手順 7
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Time Trigger Task - %AppDataLocal%\{Malware Filename}.exe --Task
- Azure-Update-Task - %Application Data%\Microsoft\Network\mstsca.exe
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.STOP.THDOEBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください