Zeppelin:注目を集める欧米のユーザーを標的とするロシアのランサムウェア

By The Cylance Threat Research Team

本ブログ記事は、2019年12月11日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

はじめに

Zeppelinは、DelphiベースのRaaS(Ransomware-as-a-Service)ファミリーにおける最新メンバーであり、当初はVegaまたはVegaLockerと呼ばれていました。このマルウェアは先行バージョンと同じコードに基づき、その機能の多くを共有していることは明らかですが、そこで展開されるキャンペーンは以前のバージョンとは大きく異なります。

Vegaのサンプルが最初に検知されたのは2019年の初めでした。ロシアのオンライン広告ネットワークであるYandex.Directを利用した、悪意のある広告の一部として、広範囲に被害をもたらす他の金融マルウェアとともに配布されたのです。このキャンペーンはロシア語圏のユーザーを標的(対象はおそらく経理担当者)とし、標的は慎重に選定するのではなく、広範囲にわたるよう仕組まれていました。多くの場合、バイナリは有効な証明書で署名され、GitHubでホストされていました。この1年を通じて、名前がそれぞれ異なるVegaの新バージョン(Jamper、Storm、Buranなど)がいくつか出現し、その一部は地下フォーラムのサービスとして提供されました。

Vegaの最新の亜種であるZeppelinを利用した最近のキャンペーンには、明らかな違いが見られます。初期に検知されたZeppelinのサンプル(コンパイル日のタイムスタンプが2019年11月6日以降)では、テクノロジ-とヘルスケアに携わる少数の欧米企業が標的として慎重に選ばれました。Vegaのキャンペーンとは対照的に、Zeppelinのバイナリ(Buranの一部の新しいサンプルも含む)はすべて、ロシアや一部の旧ソビエト連邦諸国に配置されたマシンで実行すると終了するよう設計されています。

Zeppelinは高度な設定が可能であると思われます。EXE、DLLとして配布するほか、PowerShellローダーでラップして配布することもできます。これらのサンプルはユーザーが多く集まるWebサイトでホストされており、PowerShellに関していえばPastebinでホストされています。少なくともZeppelinによる一部の攻撃は、MSSPを通じて実行されたと信じるに足る理由があります。こうした攻撃には、Sodinokibiと呼ばれるランサムウェアを使用した、標的を絞った最近の別のキャンペーンとの類似性が見られます。

ロシア語圏から欧米諸国への大幅な標的の転換や、被害者の選定とマルウェアの配布方法における違いは、Vegaランサムウェアのこの新しい亜種が異なる脅威アクターの手に渡ったことを示唆しています。これらの攻撃者は、Zeppelinをサービスとして利用することも、購入、窃盗、漏洩で得たソースから再開発することもあります。

難読化

Zeppelinバイナリ内の機密文字列はすべて、疑似ランダムに生成された異なる32バイトのRC4鍵で難読化されています。このRC4鍵は、各暗号化文字列の前に追加されます。

図1:難読化された文字列

文字列の難読化は、簡単なポリモーフィズム(多様性)機構として機能します。生成された各サンプルは異なるRC4鍵を使用するからです。また、Zeppelinが検知を回避して解析を複雑化するのに役立ちます。

サンプルの大半はパッキングされていませんが、BlackBerry Cylanceの研究者は、ポリモーフィックな難読化ソフトウェアを追加使用した攻撃者によって保護されている、Zeppelinの実行可能ファイルを見つけました。

このような場合、Zeppelinの実行可能ファイルは、以下に示す難読化の3つのレイヤーに包まれていました。

  • (無害のソフトウェアと関連付けられることが多い)一連のランダムAPIと複数の機能停止ループを使用した各種サイズのコードにより、ヒューリスティックメカニズムを欺き、サンドボックスから逃れます。
  • ハードコードされたDWORD値から派生した、静的な1バイトのキーを使用したシンプルなXORでエンコードされた第1段階のシェルコード。このシェルコードは、1バイトのXORを使用してペイロードバイナリをそのローダーとともにデコードしますが、このキーは復号のたびに変化します。
  • ペイロードバイナリをメモリに注入して実行する第2段階のシェルコード。
     

図2:難読化の最初のレイヤーにおける機能停止ループの例

図3:ペイロードをデコードするシェルコード

設定

このランサムウェアは、以下のブール値オプションを持つものと思われます。

ID

名前

説明

1

(なし)

DLLとして実行。1つのインスタンスがすべてのドライブと共有を暗号化(EXEとは対照的)。"Startup"オプションとは非互換。

2

IP Logger

IPLoggerサービス(iplogger[.]ruまたはiplogger[.]org)を使用して被害者のIPアドレスと国コードを追跡。

3

Startup

このマルウェア自体を別の場所にコピーし、永続性を設定して"-start"パラメータを指定して開始。

4

Delete backups

指定されたコマンドを実行。特定のサービスの停止、リカバリの無効化、バックアップとシャドウコピーの削除などに使用。

5

Task-killer

指定されたプロセスを強制終了。

6

Auto-unlock busy files

暗号化時にロックされていると思われるファイルのロック解除を試行。

7

Melt

終了前に自動削除スレッドをnotepad.exeに注入(実行可能ファイルと追加されたすべてのレジストリ値を削除)。0xDEADFACEコードで終了。

8

UAC prompt

再実行時に特権昇格を試行("Startup"の設定時にのみ使用)


これらのオプションは、RSA公開鍵や他の設定可能文字列と併せて、ランサムウェアバイナリの生成時にZeppelinビルダーのユーザーインターフェイスで設定できます。

図4:設定の例

設定可能なすべてのデータはZeppelinバイナリの.itextセクションに保存されます。たとえば、次のようなものがあります。

  • ハードコードされた公開鍵(係数と指数が別々)
  • GUID(サンプルごとに異なる)
  • IPLoggerチェックインのURLアドレス
  • 除外されるフォルダーのリスト
  • 除外されるファイルのリスト
  • 除外される拡張子のリスト
  • 強制終了するプロセスのリスト
  • 実行するコマンドのリスト
  • Readmeファイルの名前
  • Readmeファイルの内容

実行

このランサムウェアのバイナリは、以下のパラメータを使用して実行されます。

パラメータ

説明

<<既存ファイルのパス>>

1つのファイルを暗号化 

<<既存ディレクトリのパス>> 

指定したディレクトリ内のファイルを暗号化  

-start

インストールをスキップし、悪意のあるコードの第2段階(ファイルの暗号化)を実行

-agent <int>

エージェントとして実行。HKCU/Software/Zeppelin/Pathsキーの値で指定されているパスのファイルを暗号化。<int>は値の名前(0で始まる連続番号)。

(パラメータなし)

デフォルトの暗号化ルーチン


インストール

(パラメータを指定しないで)最初にインストールを実行すると、このマルウェアは被害者の国コードをチェックし、次のいずれかの国で実行されていないことを確かめます。

  • ロシア連邦
  • ウクライナ
  • ベラルーシ
  • カザフスタン

ビルドプロセス時に設定されたオプションに基づいて、マシンのデフォルトの言語および国番号の確認、またはオンラインサービス使用による被害者の外部IPアドレスの取得が行われます。

図5:被害者が属する国の確認

Zeppelinは%TEMP%ディレクトリに空のファイルを作成します。ファイルの名前はこのマルウェアのパスのCRC32ハッシュであり、拡張子は".zeppelin"です。

"Startup"オプションが設定されている場合、このマルウェアはそれ自体を%APPDATA%\Roaming\Microsoft\Windowsディレクトリにコピーします。その際、アクティブなプロセスのリストからランダムに選択された名前が使用されます("install"または"setup"コマンドライン引数で呼び出されたプロセスは無視されます)。

選択された名前はランダムに生成された32バイトのRC4鍵で暗号化され、(先頭に追加された鍵とともに)base64でエンコードされて、HKCU\Software\Zeppelinのレジストリ値"Process"に保存されます。

レジストリのHKCU\Software\Microsoft\Windows\CurrentVersion\Runキーを使用した永続性の設定が完了すると、このランサムウェアは"-start"引数を指定して新しいパスからそれ自体を再実行します。"UAC prompt"オプションが設定されている場合は、昇格した特権で実行が試みられます。

"Melt"オプションが設定されている場合は、新規に生成されたnotepad.exeプロセスに自動削除スレッドが注入され、このマルウェアはコード0xDEADFACEで終了します。それ以外の場合は、単にコード0で終了します。

ネットワーク通信

Zeppelinでも先行バージョンと同様に、攻撃者は被害者のIPアドレスと場所を、IPLogger Webサービスを介して追跡できます。該当するオプションが設定されている場合、このランサムウェアはチェックインを試みます。これは、IPLogger URL Shortenerサービスで生成された、ハードコードされたURLにGET要求を送信することで行われます。User-AgentフィールドのIDが"ZEPPELIN"に設定され、鍵の生成フェーズで作成された被害者の固有IDがリファラーフィールドに取り込まれます。  

図6:カスタムヘッダーを備えたGET要求

被害者が複数回チェックインするのを防ぐため、HKCU\Software\Zeppelinに0x29A (666)の"Knock"値が書き込まれます。この値がすでに存在する場合、後続の実行ではURLとの接触は試行されません。

攻撃者はIPLogger Webサービスを利用して被害者のリストを表示し、短縮URLを使用して他の悪意のあるコンテンツにユーザーをリダイレクトすることができます。

鍵の生成

前バージョンのBuranと比べると、暗号化アルゴリズムに大きな変化は見られません。ファイルごとに鍵がランダムに生成されるファイルの対称暗号化(CBCモードのAES-256)と、セッション鍵を保護するために使用される非対称暗号化(組織内で開発された可能性もあるカスタムRSA実装を使用)の標準的な組み合わせが採用されています。

最初に、このマルウェアは512ビットのRSA鍵のペアを被害者用に生成し、以下の形式でメモリに保存します。


<N>{privatekey_modulus_hexstr}</N><D>{privatekey_exponent_hexstr}</D>
<N>{publickey_modulus_hexstr}</N><E>{publickey_exponent_hexstr}</E>

 

図7:暗号鍵の例:攻撃者の公開鍵(青)、生成された被害者の公開鍵(緑)と秘密鍵(赤)、その暗号化されたbase64エンコードバージョン(黄色)

このペアの秘密鍵は、バイナリの.itextセクションにハードコードされた、攻撃者の2048ビットのRSA公開鍵を使用して暗号化されます。被害者の暗号化されたRSA秘密鍵とその対応する公開鍵は、ランダムに生成された32バイトのRC4鍵でさらに難読化され、(先頭に追加されたRC4鍵とともに)base64でエンコードされて、HKCU\Software\Zeppelin\Keysのレジストリに"Public Key"、"Encrypted Private Key"としてそれぞれ保存されます。

図8:被害者の秘密鍵の暗号化

次に、被害者の固有IDが作成されます。これは、被害者のRSA公開鍵モジュールの最初の11バイトを使用して、3番目と7番目の文字をダッシュ文字"-"に置き換えることで行われます。上記の鍵のサンプルIDは389-04C-3D7となります。

ファイルの暗号化

Zeppelinは、すべてのドライブとネットワーク共有にあるファイルを列挙して、ディレクトリのリストを作成します。バイナリ形式に応じて、WNetEnumResource API(EXEとして実行する場合)と以下のコマンド(DLLとして実行する場合)のいずれかが使用されます。

chcp 1250 && net view


除外するファイル/拡張子のリストに該当しない各ファイルに対して、以下のアクションが実行されます。

1.     元のファイル属性とアクセス時間をメモリに保存し、FILE_ATTRIBUTE_ARCHIVEを設定します。

2.     プレーンテキストファイルの先頭に文字列"666"を追加します。

3.     ランダムな32バイトのAES対称鍵と16バイトの初期化ベクトル(IV)を生成します。

4.     CBCモードのAES-256を使用してファイルを暗号化します(最初の0x10000バイトのみ。残りのファイル内容は暗号化しない状態を維持)。

5.     被害者のRSA公開鍵でAES鍵を暗号化し、ランダムに生成された32バイトのRC4鍵でさらに難読化します。

図9:AES鍵の暗号化

6.     8バイト長の暗号化データと8バイト長の元データ(以前に追加した3バイトの文字列"666"を含む)とともに、ハードコードされたマーカー文字列を暗号化されたファイルの先頭に追加します。

図10:暗号化されたファイルヘッダー。マーカー文字列(緑)とファイルサイズ(赤)、それに続く暗号化された内容

7.     暗号化されたファイル内容の最後に、以下の情報を追加します。

長さ

説明

4

次のフィールドの長さ

0x28 (40)

32バイトのRC4鍵とそれに続く8個の暗号化されたゼロバイト

4

次のフィールドの長さ

0xBB (187)

RC4で難読化され、RSAで暗号化されたAES鍵

4

次のフィールドの長さ

0x4F4 (1268)

攻撃者の公開鍵で非対称に暗号化された被害者の秘密鍵

4

暗号化するデータのサイズ

8

元のファイルサイズ

4

追加されたすべてのデータのサイズ

 

図11:暗号化されたファイルフッター

8.    ファイルの名前を変更して、被害者の固有IDに拡張子として追加します。

9.    ファイル属性とアクセス時間を元の値に戻します。

10. 次のファイルへ進みます。

Zeppelinが実行可能ファイルとして実行されている場合、その最初のインスタンスは現在の論理ドライブにある各ファイルを暗号化し、"-agent"パラメータを指定して多くの後続プロセスを生成します。これらのプロセスは、他のドライブとネットワーク共有にあるファイルを暗号化する役割を担います。暗号化の対象となるすべてのパスは、HKCU\Software\Zeppelin\Pathsレジストリキーに格納されます。

興味深いことに、0x10000バイト(65KB)ではなく、最初の0x1000バイト(4KB)のみを暗号化するサンプルもあります。これは、意図しないバグである可能性があります。あるいは、ほとんどのファイルを使用できない状態にしつつ、暗号化プロセスを促進することを意図的に選んだのかもしれません。

すべてのファイルの暗号化が完了すると、Zeppelinは身代金要求メッセージのテキストファイルをドロップし、それをメモ帳で表示します。攻撃者はこのファイルの名前と内容を設定できます。BlackBerry Cylanceの研究者は、短い汎用メッセージから個々の組織に応じた詳細な身代金要求メッセージまで、異なる複数のバージョンがあることを発見しました。すべてのメッセージは、指定した電子メールアドレスを使用して攻撃者と連絡をとるよう被害者に指示し、被害者の個人識別番号を引用しています。攻撃者は、ランサムウェアと関係があることで知られる、複数の安全な電子メールプロバイダー(firemail[.]cc、Protonmail、Tutanotaなど)を利用しています。さらに、Tor経由でのみアクセス可能な.onionドメインに関連付けられた電子メールアドレスを指定した身代金要求メッセージも見つかっています。

まとめ

創造力に富む脅威アクターの奮闘により、一時期衰退していたランサムウェアが復活を遂げています。たとえば、Zeppelinを操る攻撃者は、IT/ヘルスケア部門で注目を集める標的にピンポイント攻撃を仕掛けることで、そのスキルへの献身ぶりを証明しています。到達可能なすべてのユーザーを標的とせずに特定の組織に対象を絞り込むことは、進化を続けるランサムウェア攻撃の一例にすぎません。ランサムウェア攻撃における巧妙化の進展は、予測的で適応性に富む、事前対応型かつ半自律型のサイバーセキュリティこそが効果をもたらすことを、否応なしに思い起こさせてくれます。

BlackBerry Cylanceの研究者は、こうした脅威解析をすべてのユーザーと共有することで、組織がサイバー攻撃の常に一歩先を行くことを目指しています。その他の脅威に関する有益な解析については、http://www.cylance.comをご覧ください。

付録

侵入の痕跡(IOC)

04628e5ec57c983185091f02fb16dfdac0252b2d253ffc4cd8d79f3c79de2722

SHA256

39d8331b963751bbd5556ff71b0269db018ba1f425939c3e865b799cc770bfe4

SHA256

4894b1549a24e964403565c61faae5f8daf244c90b1fbbd5709ed1a8491d56bf

SHA256

e22b5062cb5b02987ac32941ebd71872578e9be2b8c6f8679c30e1a84764dba7

SHA256

1f94d1824783e8edac62942e13185ffd02edb129970ca04e0dd5b245dd3002bc

SHA256

d61bd67b0150ad77ebfb19100dff890c48db680d089a96a28a630140b9868d86

SHA256

HKCU\Software\Zeppelin

レジストリキー

{961367AF-2538-7AA3-CE0E-20CBF2F40FD2}

GUID

{4B76FDEB-DA9A-2C56-7460-BB8AB48A34C5}

GUID

{56A680F5-496F-8328-C080-FDF866E8183F}

GUID

{EEDECCF1-06D1-0333-0333-1084CF2219BB}

GUID

{A321064D-1177-5C30-7EE6-AEFD48302DCB}

GUID

{81732134-D330-05F5-35FC-57B2E8FFB983}

GUID

https[://]iplogger[.]org/1HVwe7.png

URL

https[://]iplogger[.]org/1HCne7.jpeg

URL

https[://]iplogger[.]org/1Hpee7.jpeg

URL

https[://]iplogger[.]org/1syG87

URL

https[://]iplogger[.]org/1H7Yt7.jpg

URL

https[://]iplogger[.]org/1wF9i7.jpeg

URL

bad_sysadmin(at)protonmail[.]com

電子メール

Vsbb(at)firemail[.]cc

電子メール

Vsbb(at)tutanota[.]com

電子メール

buratino(at)firemail[.]cc

電子メール

buratino2(at)tutanota[.]com

電子メール

ran-unlock(at)protonmail[.]com

電子メール

ranunlock(at)cock[.]li

電子メール

buratin(at)torbox3uiot6wchz[.]onion

電子メール

 

ハードコードされた設定の例

  • RSA公開鍵係数

17DB1021E0A86DAAB34E261C1FFB0864EB5DBD825B5EC3B30C8CA42A6F368ADEFECAF
242FD8F36D421EEE13D90802EFD2617FF0DE8D4C3C4924648F9249C42F08854EEEDF8
DA14E76DD8497BB0C8FD09C1B71CA5496519A2088809905373D28AB511B104405F200
CCE7B13BE61DC7C13FF478D72208764F69A7BF5812FB115F436BF4097A59CF27F99E0D
CB8A9697EEF5338B13CCA2AB52E878FD9A13D2BA834D8204A35BCAC2247ACFD8CC8
AC29838904DEDFD8B0F84140EA32E9FE921B5319C1E279C0F356DA7B1F4D2A77EDA5
B559240ACCBD395968C0B3D2626273B58F6AA1EB58E7420F07805E5467E1908E6528
000BADB59178EF087AEAEBEE6BB7F41DFD

     

  • RSA公開鍵指数

1519D8329EAF8C9301527CE7A3CC7FF48E7C022973B98C513F8AFA32155519C82B9B645
65B0A0EEEB7B71D1140C073A68FE3B28DADA12A115DB6A25D6DED4304F2298F4ED5A
5F4CA42F313F6FBA174A7440C2EED50CF6DAF603DB5CC417D4B787C0366762D3AB3F2
A4E348BA2ED73781CE3793CDD63197FC47BC80BC2065547148CD5C42665419EEBE5AA
181DEC91160D1B76E18CCAECD2D024E8363FB49E9923C53F2A86973D038F1D8F68BF4F
26DF70D4ED5B404E835C364E3299874F443E4C0486FED0B1F4AA15C4E6837FC3C2892
646EC91E232C76A831FE8667288A9A9A987B9767070D832C406EE13353FD83696B9F94
35C0F4E5FC91F0AED0F2839FB9C5

     

  • マルウェアサンプルの固有ID:

{961367AF-2538-7AA3-CE0E-20CBF2F40FD2}

     

  • IPLogger URL:

https[://]iplogger[.]org/1HVwe7.png

     

  • 除外されるフォルダー:

%WINDIR%

:\$Windows.~bt\;:\System Volume Information\;:\Windows.old\;:\Windows\;:\intel\;:\nvidia\;:\inetpub\logs\;\All Users\;\AppData\;\Apple Computer\Safari\;\Application Data\;\Boot\;\Google\;\Google\Chrome\;\Mozilla Firefox\;\Mozilla\;\Opera Software\;\Opera\;\Tor Browser\;\Common Files\;\Internet Explorer\;\Windows Defender\;\Windows Mail\;\Windows Media Player\;\Windows Multimedia Platform\;\Windows NT\;\Windows Photo Viewer\;\Windows Portable Devices\;\WindowsPowerShell\;\Windows Photo Viewer\;\Windows Security\;\Embedded Lockdown Manager\;\Windows Journal\;\MSBuild\;\Reference Assemblies\;\Windows Sidebar\;\Windows Defender Advanced Threat Protection\;\Microsoft\;\Package Cache\;\Microsoft Help\;

     

  • 除外されるファイル:

boot.ini;bootfont.bin;bootsect.bak;desktop.ini;iconcache.db;ntdetect.com;ntldr;ntuser.dat
;ntuser.dat.log;ntuser.ini;thumbs.db;

     

  • 除外される拡張子:

.bat;.cmd;.com;.cpl;.dll;.msc;.msp;.pif;.scr;.sys;.log;.lnk;.zeppelin;

     

  • 強制終了するプロセスのリスト:

agntsvc.exe;agntsvc.exeagntsvc.exe;agntsvc.exeencsvc.exe;agntsvc.exeisqlplussvc.exe;
anvir.exe;anvir64.exe;apache.exe;backup.exe;ccleaner.exe;ccleaner64.exe;dbeng50.exe;
dbsnmp.exe;encsvc.exe;far.exe;firefoxconfig.exe;infopath.exe;isqlplussvc.exe;kingdee.exe;
msaccess.exe;msftesql.exe;mspub.exe;mydesktopqos.exe;mydesktopservice.exe;
mysqld-nt.exe;mysqld-opt.exe;mysqld.exe;ncsvc.exe;ocautoupds.exe;ocomm.exe;
ocssd.exe;oracle.exe;
oracle.exe;procexp.exe;regedit.exe;sqbcoreservice.exe;sql.exe;sqlagent.exe;
sqlbrowser.exe;sqlserver.exe;sqlservr.exe;sqlwriter.exe;synctime.exe;taskkill.exe;
tasklist.exe;taskmgr.exe;tbirdconfig.exe;tomcat.exe;tomcat6.exe;u8.exe;ufida.exe;
visio.exe;xfssvccon.exe;

     

  • 実行するコマンドのリスト:

net stop "Acronis VSS Provider" /y;net stop "Enterprise Client Service" /y;net stop "SQL Backups" /y;net stop "SQLsafe Backup Service" /y;net stop "SQLsafe Filter Service" /y;net stop "Sophos Agent" /y;net stop "Sophos AutoUpdate Service" /y;net stop "Sophos Clean Service" /y;net stop "Sophos Device Control Service" /y;net stop "Sophos File Scanner Service" /y;net stop "Sophos Health Service" /y;net stop "Sophos MCS Agent" /y;net stop "Sophos MCS Client" /y;net stop "Sophos Message Router" /y;net stop "Sophos Safestore Service" /y;net stop "Sophos System Protection Service" /y;net stop "Sophos Web Control Service" /y;net stop "Symantec System Recovery" /y;net stop "Veeam Backup Catalog Data Service" /y;net stop "Zoolz 2 Service" /y;net stop ARSM /y;net stop AVP /y;net stop AcrSch2Svc /y;net stop AcronisAgent /y;net stop Antivirus /y;net stop BackupExecAgentAccelerator /y;net stop BackupExecAgentBrowser /y;net stop BackupExecDeviceMediaService /y;net stop BackupExecJobEngine /y;net stop BackupExecManagementService /y;net stop BackupExecRPCService /y;net stop BackupExecVSSProvider /y;net stop DCAgent /y;net stop EPSecurityService /y;net stop EPUpdateService /y;net stop ESHASRV /y;net stop EhttpSrv /y;net stop EraserSvc11710 /y;net stop EsgShKernel /y;net stop FA_Scheduler /y;net stop IISAdmin /y;net stop IMAP4Svc /y;net stop KAVFS /y;net stop KAVFSGT /y;net stop MBAMService /y;net stop MBEndpointAgent /y;net stop MMS /y;net stop MSExchangeES /y;net stop MSExchangeIS /y;net stop MSExchangeMGMT /y;net stop MSExchangeMTA /y;net stop MSExchangeSA /y;net stop MSExchangeSRS /y;net stop MSOLAP$SQL_2008 /y;net stop MSOLAP$SYSTEM_BGC /y;net stop MSOLAP$TPS /y;net stop MSOLAP$TPSAMA /y;net stop MSSQL$BKUPEXEC /y;net stop MSSQL$ECWDB2 /y;net stop MSSQL$PRACTICEMGT /y;net stop MSSQL$PRACTTICEBGC /y;net stop MSSQL$PROD /y;net stop MSSQL$PROFXENGAGEMENT /y;net stop MSSQL$SBSMONITORING /y;net stop MSSQL$SHAREPOINT /y;net stop MSSQL$SOPHOS /y;net stop MSSQL$SQLEXPRESS /y;net stop MSSQL$SQL_2008 /y;net stop MSSQL$SYSTEM_BGC /y;net stop MSSQL$TPS /y;net stop MSSQL$TPSAMA /y;net stop MSSQL$VEEAMSQL2008R2 /y;net stop MSSQL$VEEAMSQL2008R2 /y;net stop MSSQL$VEEAMSQL2012 /y;net stop MSSQLFDLauncher /y;net stop MSSQLFDLauncher$PROFXENGAGEMENT /y;net stop MSSQLFDLauncher$SBSMONITORING /y;net stop MSSQLFDLauncher$SHAREPOINT /y;net stop MSSQLFDLauncher$SQL_2008 /y;net stop MSSQLFDLauncher$SYSTEM_BGC /y;net stop MSSQLFDLauncher$TPS /y;net stop MSSQLFDLauncher$TPSAMA /y;net stop MSSQLSERVER /y;net stop MSSQLServerADHelper /y;net stop MSSQLServerADHelper100 /y;net stop MSSQLServerOLAPService /y;net stop McAfeeEngineService /y;net stop McAfeeFramework /y;net stop McAfeeFrameworkMcAfeeFramework /y;net stop McShield /y;net stop McTaskManager /y;net stop MsDtsServer /y;net stop MsDtsServer100 /y;net stop MsDtsServer110 /y;net stop MySQL57 /y;net stop MySQL80 /y;net stop NetMsmqActivator /y;net stop OracleClientCache80 /y;net stop PDVFSService /y;net stop POP3Svc /y;net stop RESvc /y;net stop ReportServer /y;net stop ReportServer$SQL_2008 /y;net stop ReportServer$SYSTEM_BGC /y;net stop ReportServer$TPS /y;net stop ReportServer$TPSAMA /y;net stop SAVAdminService /y;net stop SAVService /y;net stop SDRSVC /y;net stop SMTPSvc /y;net stop SNAC /y;net stop SQLAgent$BKUPEXEC /y;net stop SQLAgent$CITRIX_METAFRAME /y;net stop SQLAgent$CXDB /y;net stop SQLAgent$ECWDB2 /y;net stop SQLAgent$PRACTTICEBGC /y;net stop SQLAgent$PRACTTICEMGT /y;net stop SQLAgent$PROD /y;net stop SQLAgent$PROFXENGAGEMENT /y;net stop SQLAgent$SBSMONITORING /y;net stop SQLAgent$SHAREPOINT /y;net stop SQLAgent$SOPHOS /y;net stop SQLAgent$SQLEXPRESS /y;net stop SQLAgent$SQL_2008 /y;net stop SQLAgent$SYSTEM_BGC /y;net stop SQLAgent$TPS /y;net stop SQLAgent$TPSAMA /y;net stop SQLAgent$VEEAMSQL2008R2 /y;net stop SQLAgent$VEEAMSQL2008R2 /y;net stop SQLAgent$VEEAMSQL2012 /y;net stop SQLBrowser /y;net stop SQLSERVERAGENT /y;net stop SQLSafeOLRService /y;net stop SQLTELEMETRY /y;net stop SQLTELEMETRY$ECWDB2 /y;net stop SQLWriter /y;net stop SamSs /y;net stop SepMasterService /y;net stop ShMonitor /y;net stop SmcService /y;net stop Smcinst /y;net stop SntpService /y;net stop SstpSvc /y;net stop TmCCSF /y;net stop TrueKey /y;net stop TrueKeyScheduler /y;net stop TrueKeyServiceHelper /y;net stop UI0Detect /y;net stop VeeamBackupSvc /y;net stop VeeamBrokerSvc /y;net stop VeeamCatalogSvc /y;net stop VeeamCloudSvc /y;net stop VeeamDeploySvc /y;net stop VeeamDeploymentService /y;net stop VeeamEnterpriseManagerSvc /y;net stop VeeamHvIntegrationSvc /y;net stop VeeamMountSvc /y;net stop VeeamNFSSvc /y;net stop VeeamRESTSvc /y;net stop VeeamTransportSvc /y;net stop W3Svc /y;net stop WRSVC /y;net stop bedbg /y;net stop ekrn /y;net stop kavfsslp /y;net stop klnagent /y;net stop macmnsvc /y;net stop masvc /y;net stop mfefire /y;net stop mfemms /y;net stop mfevtp /y;net stop mozyprobackup /y;net stop msftesql$PROD /y;net stop ntrtscan /y;net stop sacsvr /y;net stop sophossps /y;net stop svcGenericHost /y;net stop swi_filter /y;net stop swi_service /y;net stop swi_update /y;net stop swi_update_64 /y;net stop tmlisten /y;net stop wbengine /y;net stop wbengine /y;bcdedit /set {default} bootstatuspolicy ignoreallfailures;bcdedit /set {default} recoveryenabled no;wbadmin delete catalog -quiet;wbadmin delete systemstatebackup;wbadmin delete systemstatebackup -keepversions:0;wbadmin delete backup;wmic shadowcopy delete;vssadmin delete shadows /all /quiet;reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f;reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f;reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers";attrib "%userprofile%\documents\Default.rdp" -s -h;del "%userprofile%\documents\Default.rdp";wevtutil.exe clear-log Application;wevtutil.exe clear-log Security;wevtutil.exe clear-log System;sc config eventlog start=disabled;

     

  • Readmeファイルの名前

!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

     

  • Readmeファイルの内容:

!!!あなたのすべてのファイルは暗号化されています!!! !!!

あなたのファイル、ドキュメント、写真、データベースその他の重要なファイルはすべて暗号化されています。

あなたが自分でファイルを復号することはできません!ファイルを復元する唯一の方法は固有の秘密鍵を購入することです。この秘密鍵をあなたに提供してファイルを復元できるのはわれわれだけです。

私たちが正しく機能する復号ツールを持っていることを確認するために、あなたは bad_sysadmin(at)protonmail[.]com  宛てにメールを送信し、1つのファイルを無料で復号することができます。ただし、そのファイルは金銭的価値が低いものでなければなりません!

本当にファイルを復元したいですか?
bad_sysadmin(at)protonmail[.]com  宛てにメールを送信してください。

あなたの個人識別番号:: <!--ID-->

注意!
* 暗号化されたファイルの名前を変更しないでください。
* サードパーティのソフトウェアを使用してデータを復号しようとしないでください。データを永久に失うおそれがあります。
* サードパーティの助けを借りてファイルを復号すると、費用が増大(われわれに払う金額+サードパーティへの料金)したり、詐欺の被害者となる可能性があります。

 

著者について

 

Tags: