• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.WHITERABBIT.YPEDG

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のファイル拡張子を持つファイルを暗号化します。 身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Malware Directory}\{Filename from argument} → If '-l' was used.

マルウェアは、以下のプロセスを追加します。

• cmd /c choice /t 9 /d y & attrib -h {Malware File Path}\{Malware File Name} & copy %systemroot%\regedit.exe {Malware File Path}\{Malware File Name} /y & del {Malware File Path}\{Malware File Name}
• powershell.exe -NoExit -Command -

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{GUID}

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• msexchange*
• msex-change*
• vss
• sql
• svc$
• memtas
• mepocs
• sophos
• veeam
• backup
• gxvss
• gxblr
• gxfwd
• gxcvd
• gxcimgr
• defwatch
• ccevtmgr
• ccsetm
• grsavroam
• rtvscan
• qbfcservice
• qbidpservice
• intuit.quickbooks.fcs
• qbcfmonitorservice
• yoobackup
• yooit
• zhudongfangyu
• stc _ raw _ agent
• vsnapvss
• veeamtransportsvc
• veeamdeploymentservice
• veeamnfssvc
• pdvfsservice
• backupexecvssprovider
• backupexeca-gentaccelerator
• backupexecagentbrowser
• backupexecdivecimediaservice
• backupexecjobengine
• backupexecmanagementservice
• backupexecrpcservice
• acrsch2svc
• acronisagent
• casad2dwebsvc
• caarcupdatesvc
• vmwp
• back
• xchange
• ackup
• acronis
• enterprise
• acrsch
• antivirus
• bedbg
• dcagent
• epsecurity
• epupdate
• eraser
• esgshkernel
• fa_scheduler
• iisadmin
• imap4
• mbam
• endpoint
• afee
• mcshield
• task
• mfemms
• mfevtp
• mms
• msdts
• exchange
• ntrt
• pdvf
• pop3
• report
• resvc
• sacsvr
• savadmin
• sams
• sdrsvc
• sepmaster
• monitor
• smcinst
• smcservice
• smtp
• snac
• swi_
• ccsf
• truekey
• tmlisten
• ui0detect
• w3swrsvc
• netmsmq
• ekrn
• ehttpsrv
• vss
• sql
• svc$
• memtas
• mepocs
• sophos
• veeam
• backup
• gxvss
• gxblr
• gxfwd
• gxcvd
• gxcimgr
• defwatch
• ccevtmgr
• ccsetmgr
• savroam
• rtvscan
• qbfcservice
• qbidpservice
• intuit.quickbooks.fcs
• qbcfmonitorservice
• yoobackup
• yooit
• zhudongfangyu
• sophos
• stc_raw_agent
• vsnapvss
• veeamtransportsvc
• veeamdeploymentservice
• veeamnfssvc
• veeam
• pdvfsservice
• backupexecvssprovider
• backupexecagentaccelerator
• backupexecagentbrowser
• backupexecdivecimediaservice
• backupexecjobengine
• backupexecmanagementservice
• backupexecrpcservice
• acrsch2svc
• acronisagent
• casad2dwebsvc
• caarcupdatesvc

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• mysql*
• *sqlserver*
• sql*
• msdtc
• vmcompute
• vmms
• vmwp
• vmsp
• outlook
• oracle
• ocssd
• dbsnmp
• synctime
• agntsvc
• isqlplussvc
• xfssvccon
• mydesktopservice
• ocautoupds
• encsvc
• firefox
• tbirdconfig
• mydesktopqos
• ocomm
• dbeng50
• sqbcoreser-vice
• excel
• infopath
• msaccess
• mspub
• onenote
• powerpnt
• steam
• thebat
• thunderbird
• visio
• winword
• wordpad
• notepad
• virtual
• vmcomp
• veeam
• backup
• xchange
• dbeng
• sofos
• calc
• ekrn
• zoolz
• firefoxconfig
• mydesktop
• sqbcoreservice
• word
• tmlisten
• pccntmon
• cntaosmgr
• ntrtscan
• mbamtray
• eshasrv
• avp
• klnagent
• wbengine
• kavf
• mfefire

その他

マルウェアは、以下を実行します。

• It requires to be executed with the password/passphrase in order to proceed with its malicious routine:
  • Brooklyn8473
• It will encrypt files found in the following set of drives in the affected system:
  • Fixed Drives
  • Removable Drives
  • Network Drives and Resources

マルウェアは、以下のパラメータを受け取ります。

• -p {password/passphrase}
• -f {file to encrypt}
• -l {logfile}
• -t {day}-{month}-{year} {hour}:{minute} → Use 24 Hour Format and 2 Digits

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します：$$ DATA $$

• *.txt
• *.csv
• *.rtf
• *.stl
• *.dwg
• *.sldprt
• *.step
• *.edrw
• *.prt
• *.sldasm
• *.slddrw
• *.sldprt
• *.smdot
• *.3mf
• *.amf
• *.prt
• *.sat
• *.ste
• *.sym
• *.log
• *.msg
• *.ps1
• *.bat
• *.vbs
• *.html
• *.c
• *.py
• *.cpp
• *.asm

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• *\How To Restore Your Files.txt
• *\!!READ_ME!!.txt
• *\desktop.ini
• *\ntuser.dat
• *\bootsect.bak
• *\bootmgr
• *\bootmgr.efi
• *\bootmgfw.efi
• *\autorun.inf
• *\boot.ini
• *\bootfont.ini
• *\iconcache.db
• *\ntldr
• *\ntuser.dat.log
• *\ntuser.ini
• *\Thumbs.db
• *\ntuser.dat.log
• *\bootsect.bak
• *\autorun.inf
• *\autoexec.bat
• *\dumpstack.log.tmp
• *\excel.xlsx
• *\pdf.pdf
• *\text.txt
• *\word.docx
• *\Login Data

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• C:\Windows\*
• *:\windows\*
• *:\program files (x86)\*
• *:\program files (x64)\*
• C:\Users\DYITUS~1\AppData\Local\Temp\*
• *:\program files\*
• *:\programdata\*
• *\Windows.old
• *\Tor Browser\*
• *\Internet Explorer\*
• *\Google\*
• *\Opera\*
• *\Opera Software\*
• *\Mozilla\*
• *\Mozilla Firefox\*
• *:\Share\Honeypot\*
• $Recycle.Bin
• *\Themes\*
• *:\users\all users\*
• *:\utenti\Pubblica\*
• *:\utenti\Default\*
• *:\$Secure\*

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• It modifies the extension of the encrypted files by appending an underscore '_'.

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Directory}\!!READ_ME!!.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• *.lnk
• *.iso
• *.exe
• *.dll
• *.msi
• *.sys
• *.inf
• *.dll
• *.cynet
• *.mario
• *.lmario
• *.emario
• *.nmario

<補足>
インストール

マルウェアは、以下のファイルを作成します。

• {マルウェアの保存先ディレクトリ}\{引数から取得したファイル名} → パラメータ「-l」が使用された場合

その他

マルウェアは、以下を実行します。

• マルウェアが自身の不正活動を継続するためには、以下のパスワード/パスフレーズを使用して実行される必要があります。
  • Brooklyn8473
• 感染コンピュータ内の以下のドライブ内で確認されたファイルを暗号化します。
  • 固定ドライブ
  • リムーバブルドライブ
  • ネットワークドライブおよびリソース

マルウェアは、以下のパラメータを受け取ります。

• -p {パスワード/パスフレーズ}
• -f {暗号化対象のファイル}
• -l {ログファイル}
• -t {日}-{月}-{年} {時}:{分} → 24時間形式で2桁を使用する

ランサムウェアの不正活動

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• 暗号化されたファイルの拡張子にアンダースコア「_」を付加して変更を加える

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください