&苍产蝉辫;解析者: Neljorn Nathaniel Aguas   
&苍产蝉辫;别名:

Ransom:Win32/Lockbit.HA!MTB (MICROSOFT)

&苍产蝉辫;プラットフォーム:

Windows

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

  詳細

ファイルサイズ 150,528 bytes
タイプ EXE
メモリ常驻 なし
発见日 2024年12月23日
ペイロード ファイルの暗号化, プロセスの強制終了, ファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • %System%\cmd.exe" /C DEL /F /Q %ProgramData%\{Random Hex}.tmp >> NUL

(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Global\39fb56433cee29215d427e2055d4eca9

プロセスの终了

マルウェアは、感染コンピュータ上で确认した以下のサービスを终了します。

  • backup
  • GxBlr
  • GxCIMgr
  • GxCVD
  • GxFWD
  • GxVss
  • memtas
  • mepocs
  • msexchange
  • oracle
  • sophos
  • sql
  • svc$
  • veeam
  • vss

マルウェアは、感染コンピュータ上で以下のプロセスが常驻されていることを确认した场合、そのプロセスを终了します。

  • agntsvc
  • calc
  • dbeng50
  • dbsnmp
  • encsvc
  • excel
  • firefox
  • infopath
  • isqlplussvc
  • msaccess
  • mspub
  • mydesktopqos
  • mydesktopservice
  • ocautoupds
  • ocomm
  • ocssd
  • onedrive
  • onenote
  • oracle
  • outlook
  • powerpnt
  • sqbcoreservice
  • sql
  • steam
  • synctime
  • tbirdconfig
  • thebat
  • thunderbird
  • visio
  • winword
  • wordpad
  • wuauclt
  • xfssvccon

作成活动

マルウェアは、以下のファイルを作成します。

  • %ProgramData%\{Random Hex}.tmp → used to delete itself
    • It renames the malware's filename from A to Z sequentially before deleting it. Each letter is duplicated based on the length of the original filename

(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

その他

マルウェアは、以下を実行します。

  • It deletes the following services if found running on the affected system:
    • EventLog
    • SecurityHealthService
    • Sense
    • sppsvc
    • vmicvss
    • vmvss
    • VSS
    • WdBoot
    • WdFilter
    • WdNisDrv
    • WdNisSvc
    • WinDefend
    • wscsvc
  • It bypasses user account control (UAC), by using the ICMLuaUtil COM interface under %System%\dllhost.exe
  • It uses the Windows Restart Manager API to close processes or shut down Windows services that may be keeping a file open and preventing encryption.

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のパラメータを受け取ります。

  • -pass {Value} → uses the first 32 characters of the value as a key to decrypt the main routine (will encrypt files regardless of the key provided}
  • -safe → reboots in safe mode
  • -wall → only sets the ransomware wallpaper and prints the ransom note on printers (wallpaper creation is disabled)
  • -path {Target File/Folder} → specifically encrypts the target, which can be a file or folder
  • -gspd → performs group policy modification for lateral movement
  • -psex → performs lateral movement via admin shares
  • -gdel → deletes group policy updates
  • -del → deletes itself

ランサムウェアの不正活动

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • d3d9caps.dat
  • desktop.ini
  • GDIPFONTCACHEV1.DAT
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • VTZmr7mIb.README.txt

マルウェアは、以下のフォルダ内で确认されたファイルの暗号化はしません。

  • $recycle.bin
  • $windows.~bt
  • $windows.~ws
  • all users
  • boot
  • config.msi
  • default
  • intel
  • microsoft
  • msocache
  • perflogs
  • program files
  • program files (x86)
  • programdata
  • public
  • system volume information
  • tor browser
  • windows
  • windows.old
  • x64dbg

マルウェアは、暗号化されたファイルのファイル名に以下の拡张子を追加します。

  • .VTZmr7mIb

マルウェアが作成する以下のファイルは、胁迫状です。

  • {Encrypted Path}\VTZmr7mIb.README.txt
  • %Desktop%\VTZmr7mIb.README.txt

以下のファイル拡张子を持つファイルについては暗号化しません:

  • .386
  • .adv
  • .ani
  • .bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cpl
  • .cur
  • .deskthemepack
  • .diagcab
  • .diagcfg
  • .diagpkg
  • .dll
  • .drv
  • .exe
  • .hlp
  • .hta
  • .icl
  • .icns
  • .ico
  • .ics
  • .idx
  • .key
  • .lnk
  • .lock
  • .mod
  • .mpa
  • .msc
  • .msi
  • .msp
  • .msstyles
  • .msu
  • .nls
  • .nomedia
  • .ocx
  • .pdb
  • .prf
  • .ps1
  • .rom
  • .rtp
  • .scr
  • .search-ms
  • .shs
  • .spl
  • .sys
  • .theme
  • .themepack
  • .wpx
  • .VTZmr7mIb

他のシステム変更

マルウェアは、Windows Management Instrumentation(WMI)を使用してボリューム?シャドウコピーを削除します。

  • SELECT * FROM Win32_ShadowCopy where Win32_ShadowCopy.ID={シャドウコピーID}

<補足>
作成活动

マルウェアは、以下のファイルを作成します。

  • %ProgramData%\{ランダムな16進数}.tmp →?自身の削除に使用される
    • マルウェアのファイル名を础から窜まで顺番に変更してから自身を削除します。各文字は元のファイル名の长さに基づいて复製されます。

その他

マルウェアは、以下を実行します。

  • 影响を受けるコンピュータ上で以下のサービスが実行されている场合は、削除します。
    • EventLog
    • SecurityHealthService
    • Sense
    • sppsvc
    • vmicvss
    • vmvss
    • VSS
    • WdBoot
    • WdFilter
    • WdNisDrv
    • WdNisSvc
    • WinDefend
    • wscsvc
  • ユーザアカウント制御(UAC)の回避方法として、%System%\dllhost.exe下のICMLuaUtil COMインターフェイスを使用します。
  • Windows Restart Manager APIを使用し、ファイルを開いたままにして暗号化を妨げている可能性のあるプロセスを閉じるか、Windowsサービスをシャットダウンします。

マルウェアは、以下のパラメータを受け取ります。

  • -pass {値} →?値の最初の32文字をキーとして使用し、メインとなる不正活動に施された難読化を解除する (提供されたキーに関係なくファイルは暗号化される)。
  • -safe →?セーフモードで再起動する
  • -wall →?ランサムウェアの壁紙のみを設定し、プリンタで身代金要求文書(脅迫状)を印刷する(壁紙の作成は無効化される)
  • -path {対象のファイル/フォルダ} →?対象に指定されたファイルまたはフォルダに限定して暗号化する
  • -gspd →?内部活動?水平移動を実行するためにグループポリシーを変更する
  • -psex →?管理共有を用いて内部活動?水平移動を実行する
  • -gdel →?グループポリシーの更新を削除する
  • -del →?自身を削除する

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.802.05
初回 VSAPI パターンリリース日 2024年12月27日
VSAPI OPR パターンバージョン 19.803.00
VSAPI OPR パターンリリース日 2024年12月28日

手順 1

トレンドマイクロの机械学习型検索は、マルウェアの存在を示す兆候が确认された时点で検出し、マルウェアが実行される前にブロックします。机械学习型検索が有効になっている场合、弊社のウイルス対策製品はこのマルウェアを以下の机械学习型検出名として検出します。

    ?
    • Troj.Win32.TRX.XXPE50FFF088

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %ProgramData%\{Random Hex}.tmp
  • {Encrypted Path}\VTZmr7mIb.README.txt
  • %Desktop%\VTZmr7mIb.README.txt

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.LOCKBIT.AF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

暗号化されたファイルをバックアップから復元します。