Ransom.Win32.CLOP.I
N/A
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {execution path}\clearnetworkdns_11-22-33.bat
- {malware path}\OwnerWin.db
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Gogogogogo#it666
自動実行方法
マルウェアは、以下のサービスを追加し、実行します。
- Service Name: msdtcstef
Path to Executable: "%Windows%\wsusg.exe"
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、以下のサービスを開始します。
- Service Name: InformationProdecteCLP
Service Type: 16
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- mysqld-opt.exe
- xfssvccon.exe
- thebat.exe
- ocautoupds.exe
- wordpad.exe
- mysqld-nt.exe
- thebat64.exe
- excel.exe
- thunderbird.exe
- agntsvc.exeagntsvc.exe
- zoolz.exe
- msaccess.exe
- sqlwriter.exe
- WINWORD.EXE
- THEBAT.EXE
- VISIO.EXE
- MSFTESQL.EXE
- ORACLE.EXE
- MYDESKTOPQOS.EXE
ランサムウェアの不正活動
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- {file name}.{file extension}.Clop
マルウェアが作成する以下のファイルは、脅迫状です。
- {all encrypted path}\CIopReadMe.txt
マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。
- |=|=|=|=|=|=|--> Your networks has been penetrated <--|=|=|=|=|=|=|
All files on each host in the networks have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed,so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation.
===No DECRYPTION software is AVAILABLE in the PUBLIC===
- DO NOT RENAME OR MOVE the encrypted and readme files.
!!!!!!!!!!!!!!!!!!! DO NOT RESET OR SHUTDOWN – FILES MAY BE DAMAGED!!!!!!!!!!!!!!!!!!!
===THIS MAY LEAD TO THE IMPOSSIBILITY OF RECOVERY OF THE CERTAIN FILES==
===ALL REPAIR TOOLS ARE USELESS AND CAN DESTROY YOUR FILES IRREVERSIBLY===
If you want to restore your files write to email!!!
[CONTACTS ARE AT THE BOTTOM OF THE SHEET] and attach 3-5 encrypted file s.
[Less than 7 Mb each, non-archived and your files should not contain valuable information.
[Databases,large excel sheets,backups etc].
=-=You will receive decrypted samples and our conditions how to get the decoder=-=
&&& ATTENTION &&&&
---YOUR WARRANTY - DECRYPTED SAMPLES---
---DO NOT TRY TO DECRYPT YOUR DATA USING THIRD PARTY SOFTWARE---
---WE DONT NEED YOUR FILES AND YOUR INFORMATION---
CONTACTS E-MAILS:
{BLOCKED}.su
AND
{BLOCKED}.su
!!!!!!!!!!!!!!ATTENTION!!!!!!!!!!!!!!
In the letter, type your company name and site.
^^^^The final price depends on how fast you write to us^^^
***Nothing personal just business***
CIOP^_-
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このマルウェアのサービスを無効にします。
- Service Name: InformationProdecteCLP
- Service Name: msdtcstef
手順 5
以下のファイルを検索し削除します。
- {malware path}\OwnerWin.db
- {execution path}\clearnetworkdns_11-22-33.bat
- {all encrypted path}\CIopReadMe.txt
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.CLOP.I」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください