Ransom.Linux.CERBER.THFAOBB

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のファイル拡張子を持つファイルを暗号化します。 身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• /var/lock/init-rsysd.locked
• /dev/shm/init-rsysd.locked
• /var/tmp/init-rsysd
• /var/tmp/log.1
• /var/tmp/log.2

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します：$$ DATA $$

• .jpg
• .jpeg
• .bmp
• .png
• .dib
• .gif
• .tif
• .tiff
• .psd
• .gpg
• .svg
• .raw
• .cgm
• .nef
• .wps
• .wpt
• .doc
• .dot
• .docx
• .dotx
• .docm
• .dotm
• .docb
• .rtf
• .mml
• .sxm
• .otg
• .odg
• .uop
• .ppt
• .pptx
• .pptm
• .dps
• .dpt
• .pot
• .potx
• .potm
• .pps
• .ppsx
• .ppsm
• .ppam
• .std
• .sxd
• .sti
• .sxi
• .otp
• .odp
• .wks
• .et,
• .ett
• .xls
• .xlt
• .xltx
• .xltm
• .xlsx
• .xlsb
• .xlsm
• .csv
• .dif
• .slk
• .xlw
• .xlm
• .xlc
• .stc
• .sxc
• .ots
• .ods
• .hwp
• .max
• .uot
• .stw
• .sxw
• .ott
• .odt
• .drl
• .pem
• .csr
• .crt
• .key
• .htm
• .mht
• .mhtml
• .xml
• .dat
• .conf
• .rar
• .zip
• .7z0
• .arc
• .paq
• .tar.bz2
• .tbk
• .tar
• .tgz
• .gz
• .bak
• .locky
• .djv
• .djvu
• .pdf
• .txt
• .vdi
• .vmdk
• .vmx
• .torrent
• .log
• .mp3
• .mp4
• .mid
• .wma
• .flv
• .mkv
• .rmvb
• .mov
• .avi
• .asf
• .mpeg
• .vob
• .mpg
• .wmv
• .fla
• .swf
• .wav
• .qcow2
• .aes
• .brd
• .sch
• .dch
• .dip
• .pas
• .asc
• .lay6
• .lay
• .ms11
• .sldm
• .sldx
• .php
• .asp
• .aspx
• .jsp
• .js
• .css
• .cmd
• .bat
• .class
• .jar
• .java
• .war
• .vbs
• .asm
• .cpp
• .ldf
• .mdf
• .ibd
• .myi
• .myd
• .frm
• .odb
• .dbf
• .ora
• .ctl
• .mdb
• .sql
• .sqlitedb
• .sqlite3
• .db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• /boot
• /run
• /proc
• /sys
• /dev
• /etc
• /sbin
• /bin
• /lib
• /lib64
• /usr/sbin
• /usr/bin
• /var/run
• /usr/include
• /usr/share
• /usr/src
• /var/lock
• /var/tmp
• /tmp

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted directory}\__$$RECOVERY_README$$__.html
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .locked
• .exe