Ransom.Win32.AURORA.THHOAAI
Ransom:Win32/Aurora.PI (Microsoft); RDN/Generic.grp (McAfee); Trojan-Ransom.Win32.Gen.sbe (Kaspersky)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSFEEditor = "{malware path and file name}.exe e"
作成活動
マルウェアは、以下のファイルを作成します。
- %Application Data%\000000000.key
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- 1c
- 1CD
- 3dm
- 3ds
- 3fr
- 3g2
- 3gp
- 7z
- 123
- 602
- _MS
- _ms
- ABD
- accdb
- accde
- accdr
- accdt
- ace
- aes
- ai
- alg
- allet
- AMS
- apk
- CRA
- arch00
- arm
- art
- arw
- arz
- asc
- asf
- asm
- asp
- asset
- avhdx
- avi
- CAB
- backup
- BAK
- bak
- bar
- bat
- bay
- bc6
- bc7
- bck
- BDB
- big
- bik
- bkf
- BKP
- bkp
- BKUP
- blob
- bmp
- BPN
- brd
- bsa
- bsm
- bxl
- bz2
- c
- cad
- cam
- cas
- CBK
- cbu
- cdr
- cdr3
- cdr4
- cdr5
- cel
- cer
- cert
- cf
- cfg
- cfr
- cgm
- CHG
- ckt
- class
- classpath
- cmd
- cnf
- con
- config
- cpa
- cpp
- cr2
- crt
- crw
- cs
- csa
- csr
- css
- csv
- cwz
- d
- d3dbsp
- das
- dat
- data
- dazip
- db
- db0
- db3
- db5
- dba
- dbc
- DBF
- dbf
- dbs
- dbx
- dch
- dcr
- ddb
- der
- desc
- DFT
- dif
- dip
- djvu
- DMP
- dmp
- dng
- doc
- docb
- docm
- docx
- dot
- dotm
- dotx
- dra
- drl
- dru
- dsn
- dsnwrk
- dt
- dwg
- dxf
- dxg
- edb
- edf
- elt
- eml
- epk
- eps
- erf
- esm
- ewprj
- fdb
- ff
- fla
- flv
- fods
- fodt
- forge
- fos
- fp7
- fpd
- fpk
- frm
- fsh
- g1
- g2
- g3
- g4
- gbl
- gbo
- gbp
- gbr
- gbs
- gbx
- gdb
- GDF-BACKUP
- GHO
- gho
- gif
- gko
- gml
- gp
- gp1
- gp2
- gp3
- gp4
- gpb
- gpg
- gpt
- grb
- gtl
- gto
- gtp
- gts
- gwk
- gz
- h
- hkdb
- hkx
- hplg
- hvpl
- hwp
- ibank
- ibd
- ibz
- icxs
- idb
- idc
- idx
- indd
- info
- ip
- ipc
- ism
- iso
- itdb
- itl
- itm
- iwd
- iwi
- IX
- jar
- java
- jnt
- jpe
- jpeg
- jpg
- jrl
- js
- jsp
- kdb
- kdc
- kf
- kicad
- lay
- lay6
- layout
- lbf
- lbr
- LC
- LCK
- ldb
- ldf
- lg
- lgc
- lia
- lib
- libprj
- LICENSE
- licz
- litemod
- llx
- lmc
- lrf
- ltx
- lua
- lvl
- lyt
- lzh
- lzma
- m2
- m3u
- m4a
- m4u
- map
- max
- mcmeta
- mdb
- mdbackup
- mddata
- mdf
- mef
- menu
- mid
- mkv
- mlx
- mml
- mov
- mp3
- mp4
- mpeg
- mpg
- mpqge
- mrg
- mrwref
- msg
- myd
- myi
- mysql
- mysqli
- NBD
- nc
- ncf
- ndf
- nef
- nrw
- ntl
- OBK
- odb
- odc
- odg
- odm
- odp
- ods
- odt
- OEB
- olb
- one
- onetoc2
- opj
- opt
- ORA
- orf
- ost
- otg
- otp
- ots
- ott
- p
- p7b
- p7c
- p12
- pad
- pak
- PAQ
- par
- pas
- pbd
- pc
- pcb
- pcbdoc
- pdb
- pdblib
- pdd
- pef
- pem
- pfx
- phj
- phl
- pho
- php
- pkpass
- pl
- png
- pot
- potm
- potx
- ppam
- ppc
- pps
- ppsm
- ppsx
- ppt
- pptm
- pptx
- prj
- prjcor
- prjemb
- prjpcb
- pro
- project
- prt
- ps1
- psd
- psk
- psm
- pst
- ptx
- py
- Q99
- QB1
- QBA
- QBB
- QBK
- QBM
- QBMB
- QBMD
- qbquery
- QBW
- QBX
- qdf
- QFD
- QFX
- qic
- QIF
- QMD
- qry
- QUICKEN
- QUICKEN2015BACKUP
- QUICKEN2016BACKUP
- QUICKEN2017BACKUP
- QW5
- r3d
- raf
- rar
- raw
- rb
- re4
- reu
- rgss3a
- rim
- rofl
- rou
- rtf
- rul
- rw2
- rwl
- s3db
- sal
- sav
- sb
- sch
- schdoc
- schlib
- SDF
- sdf
- sh
- sid
- sidd
- sidn
- sie
- sis
- sl2
- sl3
- sldm
- sldx
- slk
- slm
- sln
- snt
- snx
- SQB
- sql
- sqlite
- sqlite3
- sqlitedb
- sqr
- sr2
- srf
- srw
- ssq
- stc
- std
- sti
- stw
- sum
- suo
- svg
- swf
- sxc
- sxd
- sxi
- sxm
- sxw
- syncdb
- t12
- t13
- tar
- tax
- tbk
- tcf
- tgz
- tib
- tif
- tiff
- tmd
- TMP
- tor
- trn
- txt
- ub
- uop
- uot
- upk
- vb
- vbs
- vcd
- vcf
- vdf
- vdi
- vfs0
- vhd
- vhdx
- vmdk
- vmx
- vob
- vpk
- vpp_pc
- vsd
- vsdx
- vtf
- w3x
- wab
- wav
- wb2
- WBK
- wdb
- wk1
- wks
- wma
- wmo
- wmv
- wotreplay
- wpd
- wps
- x3f
- xf
- XG3
- XGO
- xlc
- XLK
- xlk
- xlm
- xls
- xls
- xlsb
- xlsm
- xlsx
- xlt
- xltm
- xltx
- xlw
- xml
- xslt
- xxx
- ydk
- zip
- zpd
- ztmp
マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。
- {encrypted file}.infected
マルウェアが作成する以下のファイルは、脅迫状です。
- @@_FILES_ARE_ENCRYPTED_@@.txt
- @@_HOW_TO_RETURN_DATA_@@.txt
- @@_RECOVERY_INSTRUCTIONS_@@.txt
対応方法
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MSFEEditor = {malware path and file name}.exe e
手順 5
以下のファイルを検索し削除します。
- %Application Data%\000000000.key
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.AURORA.THHOAAI」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください