Kraken Cryptor v2.2 Ransomware (.<5-Digit Random Extension>)

 

・ 感染方法 : 未確認
・ MD5 : 9672ec48c67d4ca3ca7e09ded0a81b83
・ 重要検知名 : Win32:RansomX-gen [Ransom] (Avast), Ransom:MSIL/Kraken (Microsoft)
・ ファイル暗号化のパターン : <Random ファイル名>.<5桁 Random 拡張子名>
・ 悪性ファイル生成場所 :
– C:\ProgramData\release.bat
– C:\ProgramData\sdelete.exe
– C:\Users\%UserName%\AppData\Local\Temp\voice-<暗号化拡張子名>.vbs
・ 決済案内ファイル : Instructions-<暗号化拡張子名>.html
・ 特徴 :
– IP チェック及び特定言語(ロシア語、ウクライナ語など) チェックを通じた実行可否決定
– 特定プロセス(firefoxconfig, mydesktopqos, mydesktopservice, mysqld-opt, sqbcoreservice, sqlbrowser など) 実行遮断
– “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security” レジストリ値の変更を介したMicrosoft Security 通知機能の無力化
– システム復元点生成無力化(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR)
– Windows 自動ログオン設定(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon)
– イベントログの無力化(sc config eventlog start=disabled, sc stop eventlog) 及び削除(clear-log Application, clear-log Security, clear-log System)
– システム復元無力化(bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0,wmic

   SHADOWCOPY DELETE, vssadmin delete shadows /All)

– Sysinternals SDelete ファイルを介してドライブの空きスペースを削除し、ファイル復元を無力化
– 削除後、偽エラーメッセージ生成および5分経過後 Windows 自動終了(shutdown /S /F /T 300 /C “Unexpected shutdown due to maintenance break.”)
– テキスト音声変換(TTS) 機能を利用した暗号化案内
– デスクトップ画面背景(C:\Users\%UserName%\AppData\Local\Temp\wallpaper.bmp) 変更