Ransom.Win64.CICADA.YXEHE

2024年10月15日

解析者: Raymart Christian Yambot

別名:

Ransom:Win32/Qilin (MICROSOFT)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 7,363,640 bytes

タイプ EXE

メモリ常駐はい

発見日 2024年8月5日

ペイロードファイルの作成, ファイルの暗号化, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

%Public%\psexec0.exe
%Public%\{Malware File Name} → Copy of itself
%Public%\{10 Random Characters}.bat → Deleted Afterward

(註：%Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

マルウェアは、以下のプロセスを追加します。

cmd /C %Public%\{10 Random Characters}.bat
cmd /C fsutil behavior set SymlinkEvaluation R2L:1
cmd /C fsutil behavior set SymlinkEvaluation R2R:1
cmd /C iisreset.exe /stop
cmd /C vssadmin.exe Delete Shadows /all /quiet
cmd /C wmic.exe Shadowcopy Delete
cmd /C bcdedit /set {default}
cmd /C bcdedit /set {default} recoveryenabled No
cmd /C “for /F 'tokens=*' %1 in ('wevtutil.exe el') DO wevtutil.exe cl %1”
cmd /C reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f
cmd /C sc stop {service}
cmd /C taskkill /IM {process}* /F

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

via net stop /y:
- WSearch
- MSExchangeIS
- MSExchangeSA
- MSExchangeADTopology
- wuauserv
- eventlog
- MSSQLSERVER
- SQLSERVERAGENT
- SQLBrowser
- MSSQLServerOLAPService
- ReportServer
- MsDtsServer
- SQLWriter

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

via taskkill /F /IM:
- agntsvc
- dbeng50
- dbsnmp
- encsvc
- excel
- firefox
- infopath
- isqlplussvc
- msaccess
- mspub
- mydesktopq
- mydesktopservic
- notepad
- ocautoupds
- ocomm
- ocssd
- onenote
- oracle
- outlook
- powerpnt
- sqbcoreservic
- steam
- synctime
- tbirdconfig
- thebat
- thunderbird
- visio
- winword
- wordpad
- xfssvccon
- *sql*
- bedbh
- vxmon
- benetns
- bengien
- pvlsvr
- beserver
- raw_agent_svc
- vsnapvss
- CagService
- QBCFMonitorSe
- TeamViewer_Service
- TeamViewertv_w32
- tv_x64
- CVMountd
- cvd
- cvfwd
- CVODS
- saphostexe
- saposcol
- sapstartsrv
- avagent
- avscc
- DellSystem
- EnterpriseClient
- VeeamNFSSVc
- VeeamTransportSvc
- VeeamDeploymentSvc

ランサムウェアの不正活動

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

\$Windows.~WS
\$windows.~ws
\$WINDOWS.~WS
\$windows.~bt
\$Windows.~BT
\$WINDOWS.~BT
\Windows.old
\NTUSER.DAT
\ntuser.dat
\autorun.inf
\boot.ini
\desktop.ini
\system volume information
\Boot
\DumpStack.log.tmp
\PerfLogs
\Users\
\Microsoft_Corporation\
\AppData\Local\Microsoft\GameDVR
\AppData\Local\Packages\Microsoft
\AppData\

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

{Original file name}.{Original extension}.tu5s6r

マルウェアが作成する以下のファイルは、脅迫状です。

{Encrypted Directory}\RECOVER-jtu5s6r-DATA.txt

以下のファイル拡張子を持つファイルについては暗号化しません：

.exe
.EXE
.DLL
.ini
.inf
.pol
.cmd
.ps1
.vbs
.bat
.pagefile.sys
.hiberfil.sys
.drv
.msc
.dll
.lock
.sys
.msu
.lnk
.search-ms
.config

<補足>
インストール

マルウェアは、以下のファイルを作成します。

%Public%\psexec0.exe
%Public%\{マルウェアのファイル名} → 自身のコピー
%Public%\{ランダムな10文字}.bat → 後に削除される

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

コマンド「net stop /y」が使用された場合：
- WSearch
- MSExchangeIS
- MSExchangeSA
- MSExchangeADTopology
- wuauserv
- eventlog
- MSSQLSERVER
- SQLSERVERAGENT
- SQLBrowser
- MSSQLServerOLAPService
- ReportServer
- MsDtsServer
- SQLWriter

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 19.602.03

初回 VSAPI パターンリリース日 2024年9月20日

VSAPI OPR パターンバージョン 19.603.00

VSAPI OPR パターンリリース日 2024年9月21日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

• Windows 10 の場合：

キーボードの「Windowsロゴ」キーおよび「（アルファベットの）i」キーを押して「設定」を開きます。これで開かない場合は「スタート」ボタンをクリックして「設定」を選択します。
「更新とセキュリティ」→「回復」を選択します。
「詳細起動」下にある「今すぐ再起動」を選択します。
再起動後、「オプションの選択」画面で「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」→「再起動」を選択します。
再起動後、「オプションを選択するには、番号を押してください」が表示されます。「4)」を選択するか「F4」キーを押して、セーフモードで起動します。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

DROP
%Public%\psexec0.exe
%Public%\{Malware File Name}
%Public%\{10 Random Characters}.bat
{Encrypted Directory}\RECOVER-jtu5s6r-DATA.txt

手順 5

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Ransom.Win64.CICADA.YXEHE」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください