Trend Micro Security

Ransom.Win32.STOP.THDOEBD

2024年4月19日
 解析者: Melvin Jhun Palbusa   

 別名:

Trojan:Win32/Amadey.ADY!MTB (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。


  詳細

ファイルサイズ 786,432 bytes
タイプ EXE
メモリ常駐 はい
発見日 2024年3月26日
ペイロード URLまたはIPアドレスに接続, システム情報の収集, ファイルの作成, ファイルの暗号化, システムのレジストリの変更

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • %AppDataLocal%\{UUID 1}
  • %AppDataLocal%\{UUID 2}
  • %System Root%\SystemID

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %AppDataLocal%\{UUID 1}\{Malware Name}

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

マルウェアは、以下のファイルを作成します。

  • %User Temp%\delself.bat ← deletes the malware if it is found to be executing on a system that is located in particular countries
  • %System%\Tasks\Time Trigger Task ← creates scheduled task for the malware
  • %AppDataLocal%\bowsakkdestx.txt ← contains the public key and system encryption identifier, deleted afterwards
  • %System Root%\SystemID\PersonalID.txt ← unique identifier for the affected system

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下のプロセスを追加します。

  • {Malware File Path}\{Malware Name} "{Malware File Path}\{Malware Name}"
  • icacls "%AppDataLocal%\{UUID 1}" /deny *S-1-1-0:(OI)(CI)(DE,DC) ← protect this path/folder
  • {Malware File Path}\{Malware Name} --Admin IsNotAutoStart IsNotTask

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • {1D6FC66E-D1F3-422C-8A53-C0BBCF3D900D}
  • {FBB4BCC6-05C7-4ADD-B67B-A98A697323C1}
  • IESQMMUTEX_0_208

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SysHelper = %AppDataLocal%\{UUID 1}\{Malware File Name} --AutoStart

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
SysHelper = 1

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • http://{BLOCKED}q.com/test1/get.php?pid={MAC ADDRESS HASH} ← used to receive public key and system encryption identifier for the affected system.

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://{BLOCKED}q.com/files/1/build3.exe
  • http://{BLOCKED}my.com/dl/build2.exe

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

マルウェアは、以下の情報を収集します。

  • IP Address
  • MAC Address
  • Computer Name
  • User Name

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • https://{{BLOCKED}p.ua/geo.json -->
    • It terminates and deletes itself on the affected system if the return of the IP address location is any of the following:
      • RU (Russia)
      • BY (Belarus)
      • UA (Ukraine)
      • AZ (Azerbaijan)
      • AM (Armenia)
      • TJ (Tajikistan)
      • KZ (Kazakhstan)
      • KG (Kyrgyzstan)
      • UZ (Uzbekistan)
      • SY (Syrian Arab Republic)

マルウェアは、以下を実行します。

  • It checks if it is running on Windows XP or lower Windows versions. If this condition is met, it will check for a service named "MYSQL" and terminate it.
  • It tries to open the following file(s):
    • I:\5d2860c89d774.jpg

マルウェアは、以下のパラメータを受け取ります。

  • --Admin → the malware is executed with admin privileges
  • --AutoStart → the malware is executed using autorun registry key(s)
  • --Task → the malware is executed using the created scheduled task
  • IsAutoStart/IsNotAutoStart → executes malware as an autostart or not
  • IsTask/IsNotTask → executes malware as a scheduled task or not

以下のスケジュールされたタスクを追加します:

  • Task Name: Azure-Update-Task
    Task Action: %Application Data%\Microsoft\Network\mstsca.exe
  • Task Name: Time Trigger Task
    Task Action: %AppDataLocal\{Malware Name} --Task

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

  • ntuser.dat
  • ntuser.dat.LOG1
  • ntuser.dat.LOG2
  • ntuser.pol
  • _readme.txt

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

  • %Program Files%\Google
  • %Program Files%\Internet Explorer
  • %Program Files%\Mozilla Firefox
  • %System Root%\dell
  • %System Root%\Games
  • %System Root%\Intel
  • %System Root%\MSOCache
  • %System Root%\PerfLogs
  • %System Root%\ProgramData
  • %System Root%\Recovery
  • %System Root%\SystemID
  • %System Root%\Windows
  • %System Root%\Windows.old
  • {Drive Letter}\dell
  • {Drive Letter}\Games
  • {Drive Letter}\Intel
  • {Drive Letter}\MSOCache
  • {Drive Letter}\PerfLogs
  • {Drive Letter}\Windows

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .xaro

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Directory}\_readme.txt

以下のファイル拡張子を持つファイルについては暗号化しません:

  • .ini
  • .DLL
  • .dll
  • .blf
  • .bat
  • .lnk
  • .regtrans-ms

<補足>
インストール

マルウェアは、以下のファイルを作成します。

  • %User Temp%\delself.bat ← 特定の国に位置するコンピュータ上でマルウェアが実行されていることが判明した場合、マルウェアを削除する
  • %System%\Tasks\Time Trigger Task ← マルウェアに対するスケジュールされたタスクを作成する
  • %AppDataLocal%\bowsakkdestx.txt ← 公開鍵および暗号化の際に用いられるコンピュータの識別子を含む。後に削除される
  • %System Root%\SystemID\PersonalID.txt ← 影響を受けるコンピュータの一意の識別子

マルウェアは、以下のプロセスを追加します。

  • {マルウェアのファイルパス}\{マルウェアの名前} "{マルウェアのファイルパス}\{マルウェアの名前}"
  • icacls "%AppDataLocal%\{UUID 1}" /deny *S-1-1-0:(OI)(CI)(DE,DC) ← このパス/フォルダを保護するためのプロセス
  • {マルウェアのファイルパス}\{マルウェアの名前} --Admin IsNotAutoStart IsNotTask

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

    http://{BLOCKED}q.com/test1/get.php?pid={MACアドレスのハッシュ} ← 影響を受けるコンピュータの公開鍵および暗号化の際に用いられるコンピュータの識別子を受け取るために使用される

情報漏えい

マルウェアは、以下の情報を収集します。

  • IPアドレス
  • MACアドレス
  • コンピュータ名
  • ユーザ名

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • https://{{BLOCKED}p.ua/geo.json -->
    • マルウェアは、IPアドレスの位置情報の戻り値が以下のいずれかである場合、感染コンピュータ上で自身を終了し削除します。
      • RU (ロシア)
      • BY (ベラルーシ)
      • UA (ウクライナ)
      • AZ (アゼルバイジャン)
      • AM (アルメニア)
      • TJ (タジキスタン)
      • KZ (カザフスタン)
      • KG (キルギス)
      • UZ (ウズベキスタン)
      • SY (シリア・アラブ共和国)
  • マルウェアは、以下を実行します。
    • Windows XPまたはそれ以前のバージョンのWindows上で実行されているかどうかを確認します。この条件が満たされた場合、「MYSQL」という名前のサービスを確認し、終了します。
    • 以下のファイルの開封を試みます。
      • I:\5d2860c89d774.jpg
  • マルウェアは、以下のパラメータを受け取ります。
    • --Admin → 管理者権限を用いてマルウェアを実行するためのパラメータ
    • --AutoStart → 自動実行レジストリキーを用いてマルウェアを実行するためのパラメータ
    • --Task → 作成されたスケジュールタスクを用いてマルウェアを実行するためのパラメータ
    • IsAutoStart/IsNotAutoStart → 自動実行時にマルウェアを実行する/しないためのパラメータ
    • IsTask/IsNotTask → スケジュールされたタスクとしてマルウェアを実行する/しないためのパラメータ
    • 以下のスケジュールされたタスクを追加します:
      • タスク名: Azure-Update-Task
      • タスクのアクション: %Application Data%\Microsoft\Network\mstsca.exe
      • タスク名: Time Trigger Task
      • タスクのアクション: %AppDataLocal\{マルウェアの名前} --Task


        対応方法

      対応検索エンジン: 9.800
      初回 VSAPI パターンバージョン 19.260.02
      初回 VSAPI パターンリリース日 2024年4月5日
      VSAPI OPR パターンバージョン 19.261.00
      VSAPI OPR パターンリリース日 2024年4月6日

      手順 1

      トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

         
        • TROJ.Win32.TRX.XXPE50FFF079

      手順 2

      Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

      手順 3

      このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

      手順 4

      以下のファイルを検索し削除します。

      [ 詳細 ]
      コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
      • %User Temp%\delself.bat
      • %System%\Tasks\Time Trigger Task
      • %AppDataLocal%\bowsakkdestx.txt
      • %System Root%\SystemID\PersonalID.txt
      • %AppDataLocal%\{UUID 1}\{Malware Name}
    • Windows 2000、XP および Server 2003 の場合:

      1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
      2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
        • %User Temp%\delself.bat
        • %System%\Tasks\Time Trigger Task
        • %AppDataLocal%\bowsakkdestx.txt
        • %System Root%\SystemID\PersonalID.txt
        • %AppDataLocal%\{UUID 1}\{Malware Name}
      3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
      4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
        註:ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)

    • Windows Vista、7、Server 2008、8、8.1、10 および Server 2012 の場合:

      1. Windowsエクスプローラ画面を開きます。
        • Windows Vista、7 および Server 2008 の場合:
          • [スタート]-[コンピューター]を選択します。
        • Windows 8、8.1、10 および Server 2012 の場合:
          • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
      2. [コンピューターの検索]に、以下を入力します。
        • %User Temp%\delself.bat
        • %System%\Tasks\Time Trigger Task
        • %AppDataLocal%\bowsakkdestx.txt
        • %System Root%\SystemID\PersonalID.txt
        • %AppDataLocal%\{UUID 1}\{Malware Name}
      3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
        註:Windows 7 および Server 2008 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
  • 手順 5

    以下のフォルダを検索し削除します。

    [ 詳細 ]
    註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %AppDataLocal%\{UUID 1}
    • %AppDataLocal%\{UUID 2}
    • %System Root%\SystemID

    手順 6

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      • SysHelper = %AppDataLocal%\{UUID 1}\{Malware Name} --AutoStart
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
      • SysHelper = 1

    手順 7

    セーフモード時のスケジュールタスクの削除方法

    1. セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
      • Time Trigger Task - %AppDataLocal%\{Malware Filename}.exe --Task
      • Azure-Update-Task - %Application Data%\Microsoft\Network\mstsca.exe
    2. Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
      • Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
    3. PCの検索欄に、次のように入力します。
      • System%\Tasks\{タスク名}
    4. ファイルを選択し、SHIFT+DELETEキーを押して削除します。
    5. レジストリエディタを開き、以下を実行してください。
      • Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
      • Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
    6. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
      • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
    7. 作成されたエントリを探し、レジストリ値のデータをメモする。
      • ID={タスクデータ}
    8. データを記録した後、レジストリキーを削除します。
      • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
    9. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
      • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
    10. 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
      • ={タスクデータ}
    11. レジストリエディタを閉じます。

    手順 8

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.STOP.THDOEBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

    手順 9

    暗号化されたファイルをバックアップから復元します。


    ご利用はいかがでしたか? アンケートにご協力ください