Ransom.Win32.BITPAYMER.TGACAL
Trojan:Win32/Occamy.B(Microsoft); Artemis!2FC74EB5720C(McAfee);
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、身代金要求文書(脅迫状)を作成します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\{Random Filename 1}
- %Application Data%\{Random Filename 2} -> random normal file can be found in system32
- %Application Data%\{Random Filename 2}:{Random Characters} -> copy of itself
- %Application Data%\{Random Characters}\{Random Filename 3} -> PUA.Win32.ProcHack.C
- %Application Data%\{Random Characters}\{Random Filename 4} -> PUA.Win32.ProcHack.C.component
- %Application Data%\{Random Characters}\WINSTA.dll -> Modified to proceed to its routine
- %User Temp%\{Random Characters}.tmp -> strings to delete all shadow copies
- %System%\msdtc.exe:0 -> Contains the original msdtc.exe content
マルウェアは、以下のプロセスを追加します。
- %Application Data%\{Random Filename 2}:{Random Characters} {Argument to execute} {Malware Filename}
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- MutexHelper
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- .DLL
- .exe
- schre*.bat
- svsho*.exe
- V01.lo*
- V01res*.jrs
- V01.ch*
- RacWmi*.sdf
- Web*V01.dat
- .ico
- .lnk
- .ini
- .chm
- .msi
- .sys
- .hlf
- .inf
- .lng
- .cmd
- .ttf
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- RECYCLE.BIN
- System Volume Information
- %Windows%
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .locked
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted File Name}.readme2unlock.txt
その他
マルウェアは、以下を実行します。
- マルウェアは、情報を収集するため、レジストリ内の以下の文字列をクエリします。
- AppEvents
- Console
- Control Panel
- Environment
- EUDC
- Identities
- Keyboard Layout
- Network
- Printers
- Software
- System
- Volatile Environment
- UserName
- UserProfile
- HomePath
- HomeDrive
- AppData
- LocalAppData
- LogonServer
- UserDomain
- マルウェアは、以下の情報を利用して、作成するファイル名に使用するランダムな文字を生成します。
- コンピュータ名
- マルウェアは、以下の一連のコマンドを使用して、シャドウコピーを削除します。
- %System%\vssadmin.exe Delete Shadows /All /Quiet
- %System%\diskshadow.exe /s %User Temp%\{ランダムな文字}.tmp
- マルウェアは、以下のコマンドを実行して、サービス「MSDTC」のオーナーシップを取得します。
- %System%\takeown.exe /F %System%\msdtc.exe
- %System%\icacls.exe %System%\msdtc.exe /reset
- マルウェアは、不正活動を実行するため、以下の引数/パラメータを使用します。
- 1xJ3P6g9rHq9Z9W3f0h7MP3T
- マルウェアは、ファイルを暗号化してオーナーシップを取得する前に、以下の一連のコマンドを実行します。
- "%System%\takeown.exe /F {暗号化されるファイル}"
- "%System%\icacls.exe {暗号化されるファイル} /reset"
- マルウェアは、感染コンピュータ内の以下のドライブセットを暗号化します。
- ネットワークドライブ
- 固定ドライブ
- リムーバブルドライブ
- マルウェアは、以下の一連のコマンドを使用して、コンピュータに接続されているネットワークドライブを収集します。また、以下のネットワークドライブに接続してファイルを暗号化します。
- arp.exe -a
- nslookup.exe {IPアドレス}
- マルウェアは、以下のファイルを実行して、権限を昇格させます。
- %Application Data%\{ランダムな文字}\{ランダムな文字 3} {ランダムなファイル名 4} 3884504681
- マルウェアは、「%System%\ msdtc.exe」のコンテンツを自身のコピーと置き換え、「%System%\ msdtc.exe」の元のコンテンツを「%System%\ msdtc.exe:0」に配置します。
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\{ランダムなファイル名 1}
- %Application Data%\{ランダムなファイル名 2} → system32内で確認できるランダムなノーマルファイル
- %Application Data%\{ランダムなファイル名 2}:{ランダムな文字} → 自身のコピー
- %Application Data%\{ランダムな文字}\{ランダムなファイル名 3} → PUA.Win32.ProcHack.C
- %Application Data%\{ランダムな文字}\{ランダムなファイル名 4} → PUA.Win32.ProcHack.C.component
- %Application Data%\{ランダムな文字}\WINSTA.dll → 不正活動実行のために変更される
- %User Temp%\{ランダムな文字}.tmp → すべてのシャドウコピーを削除するための文字列
- %System%\msdtc.exe:0 → 「msdtc.exe」 の元のコンテンツを含む
マルウェアは、以下のプロセスを追加します。
- %Application Data%\{ランダムなファイル名 2}:{ランダムな文字} {実行するための引数} {マルウェアのファイル名}
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「Ransom.Win32.BITPAYMER.TGACAL」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
以下のファイルを検索し削除します。
- %Application Data%\{Random Filename 1}
- %Application Data%\{Random Filename 2}:{Random Characters}
- %Application Data%\{Random Characters}\{Random Filename 3}
- %Application Data%\{Random Characters}\{Random Filename 4}
- %Application Data%\{Random Characters}\WINSTA.dll
- %User Temp%\{Random Characters}.tmp
- %System%\msdtc.exe
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.BITPAYMER.TGACAL」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください