解析者: Janus Agcaoili   
 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染確認数:
 システムへの影響:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 4,192,536 bytes
タイプ Other
メモリ常駐 なし
発見日 2019年7月10日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プロセスの終了

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • apache2
  • httpd
  • nginx
  • mysqld
  • mysql
  • php-fpm
  • php5-fpm
  • postgresql

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}.{BLOCKED}.206.61/d.php?s=started
  • http://{BLOCKED}.{BLOCKED}.206.61/d.php/s=done
  • http://{BLOCKED}.{BLOCKED}.206.61:65000
  • http://{BLOCKED}5hh.onion/api/GetAvailKeysByCampId/{Number}
  • http://{BLOCKED}l5hh.onion/order/1LWqmP4oTjWS3ShfHWm1UjnvaLxfMr2kjm
  • http://{BLOCKED}5hh.onion/static/

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

  • .dat
  • .db0
  • .dba
  • .dbf
  • .dbm
  • .dbx
  • .dcr
  • .der
  • .dll
  • .dml
  • .dmp
  • .dng
  • .doc
  • .dot
  • .dwg
  • .dwk
  • .dwt
  • .dxf
  • .dxg
  • .ece
  • .eml
  • .epk
  • .eps
  • .erf
  • .esm
  • .ewp
  • .far
  • .fdb
  • .fit
  • .flv
  • .fmp
  • .fos
  • .fpk
  • .fsh
  • .fwp
  • .gdb
  • .gho
  • .gif
  • .gne
  • .gpg
  • .gsp
  • .gxk
  • .hdm
  • .hkx
  • .htc
  • .htm
  • .htx
  • .hxs
  • .idc
  • .idx
  • .ifx
  • .iqy
  • .iso
  • .itl
  • .itm
  • .iwd
  • .iwi
  • .jcz
  • .jpe
  • .jpg
  • .jsp
  • .jss
  • .jst
  • .jvs
  • .jws
  • .kdb
  • .kdc
  • .key
  • .kit
  • .ksd
  • .lbc
  • .lbf
  • .lrf
  • .ltx
  • .lvl
  • .lzh
  • .m3u
  • .m4a
  • .map
  • .max
  • .mdb
  • .mdf
  • .mef
  • .mht
  • .mjs
  • .mlx
  • .mov
  • .moz
  • .mp3
  • .mpd
  • .mpp
  • .mvc
  • .mvr
  • .myo
  • .nba
  • .nbf
  • .ncf
  • .ngc
  • .nod
  • .nrw
  • .nsf
  • .ntl
  • .nv2
  • .nxg
  • .nzb
  • .oam
  • .odb
  • .odc
  • .odm
  • .odp
  • .ods
  • .odt
  • .ofx
  • .olp
  • .orf
  • .oth
  • .p12
  • .p7b
  • .p7c
  • .pac
  • .pak
  • .pdb
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .pgp
  • .php
  • .png
  • .pot
  • .ppj
  • .pps
  • .ppt
  • .prf
  • .pro
  • .psd
  • .psk
  • .psp
  • .pst
  • .psw
  • .ptw
  • .ptx
  • .pub
  • .qba
  • .qbb
  • .qbo
  • .qbw
  • .qbx
  • .qdf
  • .qfx

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

  • /proc
  • /boot/
  • /sys/
  • /run/
  • /dev/
  • /etc/
  • /home/httpd
  • /mnt/ext/opt
  • .system/thumbnail
  • .system/opt
  • .config
  • .qpkg

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .encrypt

マルウェアが作成する以下のファイルは、脅迫状です。

  • README_FOR_DECRYPT.txt

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

  • All your data has been locked(crypted).
    ​How to unclock(decrypt) instruction located in this TOR website: http://{BLOCKED}5hh.onion/order/{Bitcoin address}
    Use TOR browser for access .onion websites.
    https://{BLOCKED}kgo.com/html?q=tor+browser+how+to

    Do NOT remove this file and NOT remove last line in this file!
    {base64 encoded encrypted data}

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.226.08
初回 VSAPI パターンリリース日 2019年7月10日
VSAPI OPR パターンバージョン 15.227.00
VSAPI OPR パターンリリース日 2019年7月10日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Linux.ECHORAIX.A」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください