Trend Micro Security

Ransom.Win64.THREEAM.THDAIBD

2024年6月4日
 解析者: Melvin Jhun Palbusa   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。


  詳細

ファイルサイズ 545,792 bytes
タイプ , EXE
メモリ常駐 はい
発見日 2024年4月19日
ペイロード ファイルの暗号化, システムのレジストリの変更

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • "netsh.exe" advfirewall firewall set rule "group="Network Discovery"" new enable=Yes
  • "wbadmin.exe" delete systemstatebackup -keepVersions:0 -quiet
  • "wbadmin.exe" DELETE SYSTEMSTATEBACKUP
  • "wbadmin.exe" DELETE SYSTEMSTATEBACKUP -deleteOldest
  • "bcdedit.exe" /set {default} recoveryenabled No"bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures
  • "wmic.exe" SHADOWCOPY DELETE /nointeractive
  • "cmd.exe" /c wevtutil cl security
  • "cmd.exe" /c wevtutil cl system
  • "cmd.exe" /c wevtutil cl application
  • "vssadmin.exe" delete shadows /all /quiet

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
3AMTheTimeOfMysticismIsntIt? = {Malware File Path}\{Malware File name}

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
MaxMpxCt = 0x0000fffff(65535)

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

  • vmcomp
  • vmwp
  • veeam
  • Back
  • xchange
  • backup
  • Backup
  • acronis
  • AcronisAgent
  • AcrSch2Svc
  • sql
  • Enterprise
  • Veeam
  • VeeamTransportSvc
  • VeeamNFSSvc
  • AcrSch
  • bedbg
  • DCAgent
  • EPSecurity
  • EPUpdate
  • Eraser
  • EsgShKernel
  • FA_Scheduler
  • IISAdmin
  • IMAP4
  • MBAM
  • Endpoint
  • Afee
  • McShield
  • task
  • mfemms
  • mfevtp
  • mms
  • MsDts
  • Exchange
  • ntrt
  • PDVF
  • POP3
  • Report
  • RESvc
  • Monitor
  • Smcinst
  • SmcService
  • SMTP
  • SNAC
  • swi_
  • CCSF
  • ccEvtMgr
  • ccSetMgr
  • TrueKey
  • tmlisten
  • UIODetect
  • W3S
  • WRSVC
  • NetMsmq
  • ekrn
  • EhttpSrv
  • ESHASRV
  • AVP
  • klnagent
  • wbengine
  • KAVF
  • mfefire
  • svc$
  • memtas
  • mepocs
  • GxVss
  • GxCVD
  • GxBlr
  • GxFWD
  • GxCIMgr
  • BackupExecVSSProvider
  • BackupExecManagementService
  • BackupExecJobEngine
  • BackupExecDiveciMediaService
  • BackupExecAgentBrowser
  • BackupExecAgentAccelerator
  • vss
  • BacupExecRPCService
  • CASAD2WebSvc
  • CAARCUpdateSvc
  • YooBackup
  • YooIT

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • backup.exe
  • Backup.exe
  • calc.exe
  • CNTAoSMgr.exe
  • dbeng.exe
  • dbeng50.exe
  • dbsnmp.exe
  • ekrn.exe
  • encsvc.exe
  • excel.exe
  • firefox.exe
  • firefoxconfig.exe
  • infopath.exe
  • isqlplussvc.exe
  • mbamtray.exe
  • msaccess.exe
  • mspub.exe
  • mydesktop.exe
  • mydesktopqos.exe
  • mydesktopservice.exe
  • notepad.exe
  • Ntrtscan.exe
  • ocautoupds.exe
  • ocomm.exe
  • ocssd.exe
  • onenote.exe
  • oracle.exe
  • outlook.exe
  • PccNTMon.exe
  • powerpnt.exe
  • raccine.exe
  • Raccine.exe
  • sqbcoreservice.exe
  • sql.exe
  • sqlbcoreservice.exe
  • steam.exe
  • synctime.exe
  • tbirdconfig.exe
  • thebat.exe
  • thunderbird.exe
  • tmlisten.exe
  • veeam.exe
  • virtual.exe
  • visio.exe
  • vmcomp.exe
  • vmwp.exe
  • winword.exe
  • word.exe
  • wordpad.exe
  • xchange.exe
  • xfssvccon.exe
  • zoolz.exe

その他

マルウェアは、以下のプロセスの存在を確認します。

  • vmsrvc.exe
  • tcpview.exe
  • wireshark.exe
  • fiddler.exe
  • vmware.exe
  • VirtualBox.exe
  • procexp.exe
  • autoit.exe
  • vboxtray.exe
  • vmtoolsd.exe
  • vmrawdsk.sys
  • vmusbmouse.sys
  • df5serv.exe
  • vboxservice.exe
  • OllyDbg.exe
  • x64dbg
  • x32dbg
  • WinDbg
  • ProcessHacker.exe

マルウェアは、以下を実行します。

  • It empties the Recycled Bin
  • It checks if the following file exists:
    • view.lock
  • It uses the Windows Restart Manager API to close processes or shut down Windows services that may be keeping a file open and preventing encryption.
  • When encrypting network shares it will check if the IP address starts with the following to ensure that it is encrypting local, non-internet, systems:
    • 172.
    • 192.168.
    • 10.
    • 169.
  • It looks for database storage files by looking for the following strings in their file path:
    • .4dd
    • .4dl
    • .accdb
    • .accdc
    • .accde
    • .accdr
    • .accdt
    • .accft
    • .adb
    • .ade
    • .adf
    • .adp
    • .arc
    • .ora
    • .alf
    • .ask
    • .btr
    • .bdf
    • .cat
    • .cdb
    • .ckp
    • .cma
    • .cpd
    • .dacpac
    • .dad
    • .dadiagrams
    • .daschema
    • .db
    • .db-shm
    • .db-wal
    • .db3
    • .dbc
    • .dbf
    • .dbs
    • .dbt
    • .dbv
    • .dbx
    • .dcb
    • .dct
    • .dcx
    • .ddl
    • .dlis
    • .dp1
    • .dqy
    • .dsk
    • .dsn
    • .dtsx
    • .dxl
    • .eco
    • .edb
    • .epim
    • .exb
    • .fcd
    • .fdb
    • .fic
    • .fmp
    • .fmp12
    • .fmpsl
    • .fol
    • .fp3
    • .fp4
    • .fp5
    • .fp7
    • .fpt
    • .frm
    • .gdb
    • .grdb
    • .gwi
    • .hdb
    • .his
    • .ib
    • .idb
    • .ihx
    • .itdb
    • .itw
    • .jet
    • .jtx
    • .kdb
    • .kexi
    • .kexic
    • .kexis
    • .lgc
    • .lwx
    • .maf
    • .maq
    • .mar
    • .mas
    • .mav
    • .mdb
    • .mdf
    • .mpd
    • .mrg
    • .mud
    • .mwb
    • .myd
    • .ndf
    • .nnt
    • .nrmlib
    • .ns2
    • .ns3
    • .ns4
    • .nsf
    • .nv
    • .nv2
    • .nwdb
    • .nyf
    • .odb
    • .oqy
    • .orx
    • .owc
    • .p96
    • .p97
    • .pan
    • .pdb
    • .pdm
    • .pnz
    • .qry
    • .qvd
    • .rbf
    • .rctd
    • .rod
    • .rodx
    • .rpd
    • .rsd
    • .sas7bdat
    • .sbf
    • .scx
    • .sdb
    • .sdc
    • .sdf
    • .sis
    • .sqlite
    • .sqlite3
    • .sqlitedb
    • .te
    • .temx
    • .tmd
    • .tps
    • .trc
    • .trm
    • .udb
    • .udl
    • .usr
    • .v12
    • .vis
    • .vpd
    • .vvv
    • .wdb
    • .wmdb
    • .wrk
    • .xdb
    • .xld
    • .xmlff
    • .abcddb
    • .abs
    • .abx
    • .accdw
    • .adn
    • .db2
    • .fm5
    • .hjt
    • .icg
    • .icr
    • .kdb
    • .lut
    • .maw
    • .mdn
    • .mdt
  • It looks for disk image files by looking for the following file extensions in their file path:
    • .vdi
    • .vhd
    • .vmdk
    • .pvm
    • .vmem
    • .vmsn
    • .vmsd
    • .nvram
    • .vmx
    • .raw
    • .qcow2
    • .subvol
    • .bin
    • .vsv
    • .avhd
    • .vmrs
    • .vhdx
    • .avdx
    • .vmcx
    • .iso

マルウェアは、以下のパラメータを受け取ります。

  • -k → Access key
  • -p →
  • -h →
  • -s → determines file offsets to manage encryption speed (expressed in decimal digits).
  • -m → Specify mode of encryption
    • net → encrypt local drives
    • local → encrypt only shared drives

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

  • desktop.ini
  • autorun.inf
  • ntldr
  • bootsect.bak
  • thumbs.db
  • boot.ini
  • ntuser.dat
  • iconcache.db
  • ntuser.ini
  • ntuser.dat.log
  • recover-files.txt

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

  • vpn
  • boot
  • windows
  • $windows.~bt
  • winnt
  • application data
  • $windows.~ws
  • $recycle.bin
  • recycle.bin
  • windows.old
  • system volume information
  • tor browser
  • opera
  • windows journal
  • windows defender
  • windows security
  • windows photo viewer
  • windowsapp
  • windowspowershell
  • usoshared
  • intel
  • perflogs
  • msocache
  • sysvol
  • ntds
  • sysvol
  • netlogon
  • windows nt
  • msbuild
  • common files
  • temp
  • thumb
  • rsa
  • ntdetect.com
  • ntldr
  • bootmgr
  • programdata
  • appdata
  • program files
  • microsoft
  • sophos
  • mozilla
  • internet explorer
  • microsoft.net
  • microsoft shared
  • public
  • default
  • config.msi
  • google
  • trend micro
  • all users

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .threeamtime

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Directory}\RECOVER-FILES.txt

<補足>
その他

マルウェアは、以下を実行します。

  • ごみ箱を空にします。
  • 以下のファイルが存在するかどうかを確認します。
    • view.lock
  • Windows Restart Manager APIを使用し、ファイルを開いたままにして暗号化を妨げている可能性のあるプロセスを閉じるか、Windowsサービスをシャットダウンする
  • ネットワーク上の共有ドライブを暗号化する際、マルウェアは、IP アドレスが以下で始まるかどうかを確認して、インターネット以外のローカルシステムを暗号化していることを確かなものにします。
    • 172.
    • 192.168.
    • 10.
    • 169.
  • ファイルパス内で以下の文字列を検索してデータベースストレージファイルを探します。
    • .4dd
    • .4dl
    • .accdb
    • .accdc
    • .accde
    • .accdr
    • .accdt
    • .accft
    • .adb
    • .ade
    • .adf
    • .adp
    • .arc
    • .ora
    • .alf
    • .ask
    • .btr
    • .bdf
    • .cat
    • .cdb
    • .ckp
    • .cma
    • .cpd
    • .dacpac
    • .dad
    • .dadiagrams
    • .daschema
    • .db
    • .db-shm
    • .db-wal
    • .db3
    • .dbc
    • .dbf
    • .dbs
    • .dbt
    • .dbv
    • .dbx
    • .dcb
    • .dct
    • .dcx
    • .ddl
    • .dlis
    • .dp1
    • .dqy
    • .dsk
    • .dsn
    • .dtsx
    • .dxl
    • .eco
    • .edb
    • .epim
    • .exb
    • .fcd
    • .fdb
    • .fic
    • .fmp
    • .fmp12
    • .fmpsl
    • .fol
    • .fp3
    • .fp4
    • .fp5
    • .fp7
    • .fpt
    • .frm
    • .gdb
    • .grdb
    • .gwi
    • .hdb
    • .his
    • .ib
    • .idb
    • .ihx
    • .itdb
    • .itw
    • .jet
    • .jtx
    • .kdb
    • .kexi
    • .kexic
    • .kexis
    • .lgc
    • .lwx
    • .maf
    • .maq
    • .mar
    • .mas
    • .mav
    • .mdb
    • .mdf
    • .mpd
    • .mrg
    • .mud
    • .mwb
    • .myd
    • .ndf
    • .nnt
    • .nrmlib
    • .ns2
    • .ns3
    • .ns4
    • .nsf
    • .nv
    • .nv2
    • .nwdb
    • .nyf
    • .odb
    • .oqy
    • .orx
    • .owc
    • .p96
    • .p97
    • .pan
    • .pdb
    • .pdm
    • .pnz
    • .qry
    • .qvd
    • .rbf
    • .rctd
    • .rod
    • .rodx
    • .rpd
    • .rsd
    • .sas7bdat
    • .sbf
    • .scx
    • .sdb
    • .sdc
    • .sdf
    • .sis
    • .sqlite
    • .sqlite3
    • .sqlitedb
    • .te
    • .temx
    • .tmd
    • .tps
    • .trc
    • .trm
    • .udb
    • .udl
    • .usr
    • .v12
    • .vis
    • .vpd
    • .vvv
    • .wdb
    • .wmdb
    • .wrk
    • .xdb
    • .xld
    • .xmlff
    • .abcddb
    • .abs
    • .abx
    • .accdw
    • .adn
    • .db2
    • .fm5
    • .hjt
    • .icg
    • .icr
    • .kdb
    • .lut
    • .maw
    • .mdn
    • .mdt
  • ファイルパス内で以下のファイル拡張子を検索してディスクイメージファイルを探します。
    • .vdi
    • .vhd
    • .vmdk
    • .pvm
    • .vmem
    • .vmsn
    • .vmsd
    • .nvram
    • .vmx
    • .raw
    • .qcow2
    • .subvol
    • .bin
    • .vsv
    • .avhd
    • .vmrs
    • .vhdx
    • .avdx
    • .vmcx
    • .iso

マルウェアは、以下のパラメータを受け取ります。

  • -k → アクセスキー
  • -p →
  • -h →
  • -s → 暗号化速度を管理するためのファイルオフセットの決定(10進数で表される)
  • -m → 暗号化モードの指定
    • net → ローカルドライブの暗号化
    • local → 共有ドライブのみの暗号化


  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.330.02
初回 VSAPI パターンリリース日 2024年5月9日
VSAPI OPR パターンバージョン 19.331.00
VSAPI OPR パターンリリース日 2024年5月10日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • TROJ.Win32.TRX.XXPE50FFF080

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {Encrypted Directory}\RECOVER-FILES.txt

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • 3AMTheTimeOfMysticismIsntIt? = {Malware File Path}\{Malware File name}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    • MaxMpxCt = 0x0000fffff(65535)

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win64.THREEAM.THDAIBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

暗号化されたファイルをバックアップから復元します。


ご利用はいかがでしたか? アンケートにご協力ください