Ransom.Win32.WANNAREN.YPCJK

2022年11月4日

解析者: Jeffrey Francis Bonaobra

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 105,472 bytes

タイプ DLL

メモリ常駐なし

発見日 2022年10月11日

ペイロードプロセスの強制終了, ファイルの作成, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

sqlbrowser.exe
sqlwriter.exe
sqlservr.exe
msmdsrv.exe
MsDtsSrvr.exe
sqlceip.exe
fdlauncher.exe
Ssms.exe
sqlserv.exe
oracle.exe
ntdbsmgr.exe
ReportingServecesService.exe
fdhost.exe
SQLAGENT.exe
ReportingServicesService.exe
msftesql.exe
pg_ctl.exe
postgres.exe
UniFi.exe
sqlagent.exe
ocssd.exe
dbsnmp.exe
synctime.exe
mydesctopservice.exe
ocautoupds.exe
agntsvc.exe
agntsvc.exe
agntsvc.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
notepad.exe
veeam.backup.agent.configurationservice.exe
veeam.backup.brokerservice.exe
veeam.backup.catalogdataserviceexe
veeam.backup.cloudservice.exe
veeam.backup.externalinfrastructure.dbprovider.exe
veeam.backup.manager.exe
veeam.backup.mountservice.exe
veeam.backup.service.exe
veeam.backup.uiserver.exe
veeam.backup.wmiserver.exe
veeamdeploymentsvc.exe
veeamfilesysvsssvc.exe
veeam.guest.interaction.proxy.exe
veeamnfssvc.exe
veeamtransportsvc.exe

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

vmickvpexchange
vmicguestinterface
vmicshutdown
vmicheartbeat
vmicrdv
storflt
vmictimesync
vmicvss
MSSQLFDLauncher
MSSQLSERVER
SQLSERVERAGENT
SQLBrowser
SQLTELEMETRY
MsDtsServer130
SSISTELEMETRY130
SQLWriter
MSSQL
SQLAgent
MSSQLServerADHelper100
MSSQLServerOLAPService
MsDtsServer100
ReportServer
TMBMServer
veeamcatalogsvc
UniFi
samss
veeamcloudsvc
veeamdeploysvc

その他

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

WINWORD.EXE → loader, detected as Ransom.Win32.WANNAREN.YPCKB
sc.dat → encrypted shell code, detected as Ransom.Win32.WANNAREN.YPCJM.enc
config.bin → encrypted binary, detected as Ransom.Win32.WANNAREN.YPCJL.enc

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

logjst.txt
Read Me.txt
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

AppData
Boot
Windows
Windows.old
Tor Browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
Program Files
Program Files (x86)
#recycle

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.life

マルウェアが作成する以下のファイルは、脅迫状です。

%Desktop%\READ ME.TXT

以下のファイル拡張子を持つファイルについては暗号化しません：

exe
dll
sys
life

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 17.914.04

初回 VSAPI パターンリリース日 2022年11月3日

VSAPI OPR パターンバージョン 17.915.00

VSAPI OPR パターンリリース日 2022年11月4日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Desktop%\READ ME.TXT

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.WANNAREN.YPCJK」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください