&苍产蝉辫;解析者: Leidryn Saludez   

&苍产蝉辫;别名:

PwrSh:Agent-AV [Ransom] (AVAST)

&苍产蝉辫;プラットフォーム:

Windows

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

特定のフォルダ内のファイルを暗号化します。 身代金要求文書のファイルを作成します。

  詳細

ファイルサイズ 10,033 bytes
タイプ PS1
メモリ常驻 なし
発见日 2024年3月21日
ペイロード 画像の表示, ファイルの暗号化, ファイルの作成, URLまたは滨笔アドレスに接続, システム情報の収集, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • "%System%\NOTEPAD.EXE" %Desktop%\README.txt

(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁纸を変更します。

HKEY_CURRENT_USER\control panel\desktop
wallpaper = %Temp%\photo.jpg

情报漏えい

マルウェアは、以下の情报を収集します。

  • satellite:IP
    • IP address
  • bust_in_silhouette: User Information
    • Language
    • Current date and time
    • User Name
    • Computer Name
  • shield: Antivirus
    • Installed antivirus software
  • computer: Hardware
    • Display resolution
    • OS version
    • OS build
    • Manufacturer
    • Model
    • CPU name
    • GPU name
    • RAM
    • UUID
    • MAC address
    • Uptime
  • floppy_disk: Disk
    • All disk information

その他

マルウェアは、以下の拡张子をもつファイルを暗号化します。

  • .7z
  • .docx
  • .gif
  • .gz
  • .ini
  • .jpg
  • .pdf
  • .psd
  • .png
  • .rtf
  • .txt
  • .zip
  • .accd
  • .avi
  • .csv
  • .doc
  • .jpeg
  • .midi
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpeg2
  • .mpeg3
  • .mpg
  • .ogg
  • .ppt
  • .xls

マルウェアは、以下を実行します。

  • It deletes all shadow copies on the system.
  • It attempts to download from this URL to use as wallpaper
    • https://{BLOCKED}fshore.cat/HrD5nI4Z.cat → %Temp%\photo.jpg

ランサムウェアの不正活动

マルウェアは、以下のディレクトリ内で确认されたファイルを暗号化します。

  • %Downloads%

マルウェアは、暗号化されたファイルのファイル名に以下の拡张子を追加します。

  • .biden

マルウェアが作成する以下のファイルは、胁迫状です。

  • %Desktop%\README.txt

<補足>
情报漏えい

マルウェアは、以下の情报を収集します。

  • satellite:IP
    • 滨笔アドレス
  • bust_in_silhouette: User Information
    • 言语
    • 现在の日付および时刻
    • ユーザ名
    • コンピュータ名
  • shield: Antivirus
    • インストールされているウイルス対策ソフトウェア
  • computer: Hardware
    • ディスプレイの解像度
    • オペレーティングシステム(翱厂)のバージョン
    • 翱厂ビルド
    • 製造元
    • モデル
    • 颁笔鲍名
    • 骋笔鲍名
    • RAM
    • UUID
    • 惭础颁アドレス
    • 稼働时间
  • floppy_disk: Disk
    • すべてのディスク情报

    その他

  • マルウェアは、以下を実行します。
    • 感染コンピュータ上のすべてのシャドウコピーを削除します。
    • 壁纸として使用するために以下の鲍搁尝からのダウンロードを试みます。
      • https://{BLOCKED}fshore.cat/HrD5nI4Z.cat → %Temp%\photo.jpg

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.246.03
初回 VSAPI パターンリリース日 2024年3月29日
VSAPI OPR パターンバージョン 19.247.00
VSAPI OPR パターンリリース日 2024年3月30日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

デスクトッププロパティを修正します。

[ 詳細 ]

手順 3

暗号化されたファイルをバックアップから復元します。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.PS1.NEDIB.THCBIBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。