Ransom.Linux.ELFACRYPT.B
別名:
HEUR:Trojan-Ransom.Linux.Agent.a (KASPERSKY); Trojan:Win32/Occamy.B (MICROSOFT); Mal/Generic-S (SOPHOS)
プラットフォーム:
Linux
危険度:
感染確認数:
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 1,328,128 bytes
タイプ ELF
メモリ常駐 なし
発見日 2017年11月10日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
その他
マルウェアは、以下のパラメータを受け取ります。
- -k {file containing the public key to be used}
- -d {target path for encryption}
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- .7z
- .asp
- .aspx
- .bak
- .c
- .conf
- .cp
- .css
- .doc
- .doc
- .docx
- .ecrypt
- .err
- .FRM
- .FRM
- .gif
- .gz
- .gz
- .h
- .html
- .html
- .ini
- .jpeg
- .jpg
- .js
- .jsp
- .key
- .MYD
- .MYD
- .MYI
- .MYI
- .opt
- .php
- .php
- .php5
- .png
- .ppt
- .pst
- .py
- .rar
- .rb
- .rb
- .sh
- .sh
- .sql
- .tar
- .txt
- .xls
- .xlsx
- .xml
- .zip
マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。
- /etc
- /usr
- /lib
- /bin
- /sbin
- /proc
- /boot
- /dev
- /selinux
- /srv
- /sys
- /lib64
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- /encrypted_{date of infection}_{alternative representation of date of infection}.enc
マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。
- Your file has been encrypted,please check out your email 'server@koreaidc.com' or contact exlo0poi3@outlook.com to get decrypting details
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.186.03
初回 VSAPI パターンリリース日 2019年6月20日
VSAPI OPR パターンバージョン 15.187.00
VSAPI OPR パターンリリース日 2019年6月21日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Linux.ELFACRYPT.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください