Ransom.Win32.EKANS.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\EKANS

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• &gc
• a2guard.exe
• a2service.exe
• a2start.exe
• aawservice.exe
• acaas.exe
• acaegmgr.exe
• acaif.exe
• acais.exe
• acctmgr.exe
• aclient.exe
• aclntusr.exe
• ad-aware2007.exe
• administrator.exe
• adminserver.exe
• aesecurityservice.exe
• aexagentuihost.exe
• aexnsagent.exe
• aexnsrcvsvc.exe
• aexsvc.exe
• aexswdusr.exe
• aflogvw.exe
• afwserv.exe
• agntsvc.exe
• agt.exe
• ahnrpt.exe
• ahnsd.exe
• ahnsdsv.exe
• alert.exe
• alertsvc.exe
• almon.exe
• alogserv.exe
• alsvc.exe
• alunotify.exe
• alupdate.exe
• aluschedulersvc.exe
• amsvc.exe
• amswmagtcaf.exe
• anvir.exe
• aphost.exe
• appsvc32.exe
• aps.exe
• apvxdwin.exe
• ashavast.exe
• ashbug.exe
• ashchest.exe
• ashcmd.exe
• ashdisp.exe
• ashenhcd.exe
• ashlogv.exe
• ashmaisv.exe
• ashpopwz.exe
• ashquick.exe
• ashserv.exe
• ashsimp2.exe
• ashsimpl.exe
• ashskpcc.exe
• ashskpck.exe
• ashupd.exe
• ashwebsv.exe
• asupport.exe
• aswdisp.exe
• aswregsvr.exe
• aswserv.exe
• aswupdsv.exe
• aswwebsv.exe
• atrshost.exe
• atwsctsk.exe
• aupdrun.exe
• aus.exe
• auth8021x.exe
• autoup.exe
• avadmin.exe
• avagent.exe
• avastemupdate.exe
• avastsvc.exe
• avastui.exe
• avcenter.exe
• avconfig.exe
• avconsol.exe
• avengine.exe
• avesvc.exe
• avfwsvc.exe
• avgam.exe
• avgamsvr.exe
• avgas.exe
• avgcc.exe
• avgcc32.exe
• avgcefrend.exe
• avgchsvx.exe
• avgcmgr.exe
• avgcsrva.exe
• avgcsrvx.exe
• avgctrl.exe
• avgdiag.exe
• avgemc.exe
• avgemca.exe
• avgemcx.exe
• avgfws.exe
• avgfws8.exe
• avgfws9.exe
• avgfwsrv.exe
• avgidsagent.exe
• avgidsmonitor.exe
• avgidsui.exe
• avgidswatcher.exe
• avginet.exe
• avgmfapx.exe
• avgmsvr.exe
• avgnsa.exe
• avgnsx.exe
• avgnt.exe
• avgregcl.exe
• avgrsa.exe
• avgrssvc.exe
• avgrsx.exe
• avgscanx.exe
• avgserv.exe
• avgserv9.exe
• avgsvc.exe
• avgsystx.exe
• avgtray.exe
• avguard.exe
• avgui.exe
• avgupd.exe
• avgupdln.exe
• avgupsvc.exe
• avgvv.exe
• avgw.exe
• avgwb.dat
• avgwdsvc.exe
• avgwizfw.exe
• avira.servicehost.exe
• avira.systray.exe
• avkproxy.exe
• avkservice.exe
• avktray.exe
• avkwctl.exe
• avltmain.exe
• avmailc.exe
• avmcdlg.exe
• avnotify.exe
• avp.exe
• avpcc.exe
• avpdtagt.exe
• avpexe
• avpm.exe
• avpncc.exe
• avps.exe
• avpui.exe
• avpupd.exe
• avscan.exe
• avscc.exe
• avserver.exe
• avshadow.exe
• avsynmgr.exe
• avtask.exe
• avwebgrd.exe
• basfipm.exe
• bavtray.exe
• bcreporter.exe
• bcrservice.exe
• bdagent.exe
• bdc.exe
• bdlite.exe
• bdmcon.exe
• bdredline.exe
• bdss.exe
• bdsubmit.exe
• bhipssvc.exe
• bka.exe
• bkavsystemserver.exe
• blackd.exe
• blackice.exe
• bluestripecollector.exe
• blupro.exe
• bmrt.exe
• bullguard.exe
• bullguardbhvscanner.exe
• bullguardscanner.exe
• bullguardtray.exe
• bullguardupdate.exe
• bwgo0000fspc.exe
• ca.exe
• caantispyware.exe
• caav.exe
• caavcmdscan.exe
• caavguiscan.exe
• caf.exe
• cafw.exe
• caissdt.exe
• calogdump.exe
• capfaem.exe
• capfasem.exe
• capfsem.exe
• capmuamagt.exe
• cappactiveprotection.exe
• casc.exe
• casecuritycenter.exe
• caunst.exe
• cavrep.exe
• cavrid.exe
• cavscan.exe
• cavtray.exe
• ccap.exe
• ccapp.exe
• ccemflsv.exe
• ccenter.exe
• ccevtmgr.exe
• ccflic0.exe
• ccflic4.exe
• cclaw.exe
• ccm messaging.exe
• ccnfagent.exe
• ccprovsp.exe
• ccproxy.exe
• ccpxysvc.exe
• ccschedulersvc.exe
• ccsetmgr.exe
• ccsmagtd.exe
• ccsvchst.exe
• ccsystemreport.exe
• cctray.exe
• ccupdate.exe
• cdm.exe
• certificateprovider.exe
• certificationmanagerservicent.exe
• cfftplugin.exe
• cfnotsrvd.exe
• cfp.exe
• cfpconfg.exe
• cfpconfig.exe
• cfplogvw.exe
• cfpsbmit.exe
• cfpupdat.exe
• cfsmsmd.exe
• checkup.exe
• chrome.exe
• cis.exe
• cistray.exe
• cka.exe
• clamscan.exe
• clamtray.exe
• clamwin.exe
• client.exe
• client64.exe
• clps.exe
• clpsla.exe
• clpsls.exe
• clshield.exe
• cmdagent.exe
• cmdinstall.exe
• cmgrdian.exe
• cntaosmgr.exe
• collwrap.exe
• comhost.exe
• config_api_service.exe
• console.exe
• control_panel.exe
• coreframeworkhost.exe
• coreserviceshell.exe
• cpd.exe
• cpdclnt.exe
• cpf.exe
• cpntsrv.exe
• cramtray.exe
• crashrep.exe
• crdm.exe
• crssvc.exe
• csacontrol.exe
• csadmin.exe
• csauth.exe
• csdbsync.exe
• csfalconservice.exe
• csinject.exe
• csinsm32.exe
• csinsmnt.exe
• cslog.exe
• csmon.exe
• csradius.exe
• csrss_tc.exe
• cssauth.exe
• cstacacs.exe
• ctdataload.exe
• cwbunnav.exe
• cylancesvc.exe
• cylanceui.exe
• dao_log.exe
• dbeng50.exe
• dbserv.exe
• dbsnmp.exe
• dbsrv9.exe
• defwatch.exe
• defwatchrnav.exe
• deloeminfs.exe
• deteqt.agent.exe
• diskmon.exe
• djsnetcn.exe
• dlservice.exe
• dltray.exe
• dolphincharge.e
• dolphincharge.exe
• doscan.exe
• dpmra.exe
• dr_serviceengine.exe
• drwagntd.exe
• drwagnui.exe
• drweb.exe
• drweb32.exe
• drweb32w.exe
• drweb386.exe
• drwebcgp.exe
• drwebcom.exe
• drwebdc.exe
• drwebmng.exe
• drwebscd.exe
• drwebupw.exe
• drwebwcl.exe
• drwebwin.exe
• drwinst.exe
• drwupgrade.exe
• dsmcad.exe
• dsmcsvc.exe
• dwarkdaemon.exe
• dwengine.exe
• dwhwizrd.exe
• dwnetfilter.exe
• dwrcst.exe
• dwwin.exe
• edisk.exe
• eeyeevnt.exe
• egui.exe
• ehttpsrv.exe
• ekrn.exe
• elogsvc.exe
• emlibupdateagentnt.exe
• emlproui.exe
• emlproxy.exe
• encsvc.exe
• endpointsecurity.exe
• engineserver.exe
• entitymain.exe
• epmd.exe
• era.exe
• erlsrv.exe
• esecagntservice.exe
• esecservice.exe
• esmagent.exe
• etagent.exe
• etconsole3.exe
• etcorrel.exe
• etloganalyzer.exe
• etreporter.exe
• etrssfeeds.exe
• etscheduler.exe
• etwcontrolpanel.exe
• euqmonitor.exe
• eventparser.exe
• evtarmgr.exe
• evtmgr.exe
• evtprocessecfile.exe
• ewidoctrl.exe
• ewidoguard.exe
• excel.exe
• exe
• explicit.exe
• fameh32.exe
• fcappdb.exe
• fcdblog.exe
• fch32.exe
• fchelper64.exe
• fcsms.exe
• fcssas.exe
• fih32.exe
• firefox.exe
• firefoxconfig.exe
• firesvc.exe
• firetray.exe
• firewallgui.exe
• fmon.exe
• fnplicensingservice.exe
• forcefield.exe
• fortiesnac.exe
• fortifw.exe
• fortiproxy.exe
• fortisslvpndaemon.exe
• fortitray.exe
• fortiwf.exe
• fpavserver.exe
• fprottray.exe
• frameworkservic
• frameworkservic.exe
• frameworkservice.exe
• frzstate2k.exe
• fsaa.exe
• fsaua.exe
• fsav32.exe
• fsavgui.exe
• fscuif.exe
• fsdfwd.exe
• fsgk32.exe
• fsgk32st.exe
• fsguidll.exe
• fsguiexe
• fshdll32.exe
• fshoster32.exe
• fshoster64.exe
• fsm32.exe
• fsma32.exe
• fsmb32.exe
• fsorsp.exe
• fspc.exe
• fspex.exe
• fsqh.exe
• fssm32.exe
• fwcfg.exe
• fwinst.exe
• fws.exe
• gcascleaner.exe
• gcasdtserv.exe
• gcasinstallhelper.exe
• gcasnotice.exe
• gcasserv.exe
• gcasservalert.exe
• gcasswupdater.exe
• gdfirewalltray.exe
• gdfwsvc.exe
• gdscan.exe
• gfireporterservice.exe
• ghost_2.exe
• ghosttray.exe
• giantantispywaremain.exe
• giantantispywareupdater.exe
• googlecrashhandler.exe
• googlecrashhandler64.exe
• googleupdate.exe
• guard.exe
• guardgui.exe
• gziface.exe
• gzserv.exe
• hasplmv.exe
• hdb.exe
• healthservice.exe
• hpqwmiex.exe
• hwapi.exe
• icepack.exe
• idsinst.exe
• iface.exe
• igateway.exe
• ilicensesvc.exe
• inet_gethost.exe
• infopath.exe
• inicio.exe
• inonmsrv.exe
• inorpc.exe
• inort.exe
• inotask.exe
• inoweb.exe
• isafe.exe
• isafinst.exe
• isntsmtp.exe
• isntsysmonitor
• ispwdsvc.exe
• isqlplussvc.exe
• isscsf.exe
• issdaemon.exe
• issvc.exe
• isuac.exe
• iswmgr.exe
• itmrt_supportdiagnostics.exe
• itmrt_trace.exe
• itmrtsvc.exe
• ixaptsvc.exe
• ixavsvc.exe
• ixfwsvc.exe
• kabackreport.exe
• kaccore.exe
• kanmcmain.exe
• kansgui.exe
• kansvr.exe
• kastray.exe
• kav.exe
• kav32.exe
• kavadapterexe
• kavfs.exe
• kavfsgt.exe
• kavfsrcn.exe
• kavfsscs.exe
• kavfswp.exe
• kavisarv.exe
• kavlotsingleton.exe
• kavmm.exe
• kavshell.exe
• kavss.exe
• kavstart.exe
• kavsvc.exe
• kavtray.exe
• kb891711.exe
• keysvc.exe
• kis.exe
• kislive.exe
• kissvc.exe
• klnacserver.exe
• klnagent.exe
• klserver.exe
• klswd.exe
• klwtblfs.exe
• kmailmon.exe
• knownsvr.exe
• knupdatemain.exe
• kpf4gui.exe
• kpf4ss.exe
• kpfw32.exe
• kpfwsvc.exe
• krbcc32s.exe
• kswebshield.exe
• kvdetech.exe
• kvmonxp.kxp
• kvmonxp_2.kxp
• kvolself.exe
• kvsrvxp.exe
• kvsrvxp_1.exe
• kvxp.kxpfssm32.exe
• kwatch.exe
• kwsprod.exe
• kxeserv.exe
• leventmgr.exe
• livesrv.exe
• lmon.exe
• log_qtine.exe
• loggetor.exe
• loggingserver.exe
• luall.exe
• lucallbackproxy.exe
• lucoms.exe
• lucoms~1.exe
• lucomserver.exe
• lwdmserver.exe
• macmnsvc.exe
• macompatsvc.exe
• managementagenthost.exe
• managementagentnt.exe
• masalert.exe
• massrv.exe
• masvc.exe
• mbamservice.exe
• mbamtray.exe
• mcafeedatabackup.exe
• mcagent.exe
• mcapexe
• mcappins.exe
• mcconsol.exe
• mcdash.exe
• mcdetect.exe
• mcepoc.exe
• mcepocfg.exe
• mcinfo.exe
• mcmnhdlr.exe
• mcmscsvc.exe
• mcnasvc.exe
• mcods.exe
• mcpalmcfg.exe
• mcpromgr.exe
• mcproxy.exe
• mcregwiz.exe
• mcsacore.exe
• mcscript_inuse.exe
• mcshell.exe
• mcshield.exe
• mcshld9x.exe
• mcsvhost.exe
• mcsysmon.exe
• mctray.exe
• mctskshd.exe
• mcui32.exe
• mcuimgr.exe
• mcupdate.exe
• mcupdmgr.exe
• mcvsftsn.exe
• mcvsrte.exe
• mcvsshld.exe
• mcwce.exe
• mcwcecfg.exe
• mfeann.exe
• mfecanary.exe
• mfeesp.exe
• mfefire.exe
• mfefw.exe
• mfehcs.exe
• mfemactl.exe
• mfemms.exe
• mfetp.exe
• mfevtps.exe
• mfewc.exe
• mfewch.exe
• mgavrtcl.exe
• mghtml.exe
• mgntsvc.exe
• monitoringhost.exe
• monsvcnt.exe
• monsysnt.exe
• mpcmdrun.exe
• mpf.exe
• mpfagent.exe
• mpfconsole.exe
• mpfservice.exe
• mpfsrv.exe
• mpftray.exe
• mps.exe
• mpsevh.exe
• mpsvc.exe
• mrf.exe
• msaccess.exe
• msascui.exe
• mscifapp.exe
• msdtssrvr.exe
• msftesql.exe
• mskagent.exe
• mskdetct.exe
• msksrver.exe
• msksrvr.exe
• msmdsrv.exe
• msmpeng.exe
• mspmspsv.exe
• mspub.exe
• msscli.exe
• msseces.exe
• msssrv.exe
• musnotificationux.exe
• myagttry.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• n.exe
• nailgpip.exe
• naprdmgr.exe
• navapsvc.exe
• navapw32.exe
• navectrl.exe
• navelog.exe
• navesp.exe
• navshcom.exe
• ncdaemon.exe
• nd2svc.exe
• ndetect.exe
• ndrvs.exe
• ndrvx.exe
• neotrace.exe
• nerosvc.exe
• netalertclient.exe
• netcfg.exe
• netsession_win.exe
• networkagent.exe
• ngctw32.exe
• ngserver.exe
• nimbus.exe
• nimcluster.exe
• nip.exe
• nipsvc.exe
• nisoptui.exe
• nisserv.exe
• nissrv.exe
• nisum.exe
• njeeves.exe
• nlclient.exe
• nlsvc.exe
• nmagent.exe
• nmain.exe
• nod32.exe
• nod32krn.exe
• nod32kui.exe
• nod32view.exe
• nortonsecurity.exe
• npfmntor.exe
• npfmsg.exe
• npfmsg2.exe
• npfsvice.exe
• npmdagent.exe
• nprotect.exe
• npscheck.exe
• npssvc.exe
• nrmenctb.exe
• nscsrvce.exe
• nsctop.exe
• nslocollectorservice.exe
• nsmdemf.exe
• nsmdmon.exe
• nsmdreal.exe
• nsmdsch.exe
• nsmdtr.exe
• ntcaagent.exe
• ntcadaemon.exe
• ntcaservice.exe
• ntevl.exe
• ntrtscan.exe
• ntservices.exe
• nvcoas.exe
• nvcsched.exe
• nymse.exe
• oasclnt.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• oespamtest.exe
• ofcdog.exe
• ofcpfwsvc.exe
• okclient.exe
• olfsnt40.exe
• omniagent.exe
• omslogmanager.exe
• omtsreco.exe
• onenote.exe
• onlinent.exe
• onlnsvc.exe
• op_viewer.exe
• opscan.exe
• oracle.exe
• outlook.exe
• outpost.exe
• paamsrv.exe
• padfsvr.exe
• pagent.exe
• pagentwd.exe
• pasystemtray.exe
• patch.exe
• patrolagent.exe
• patrolperf.exe
• pavbckpt.exe
• pavfires.exe
• pavfnsvr.exe
• pavjobs.exe
• pavkre.exe
• pavmail.exe
• pavprot.exe
• pavprsrv.exe
• pavreport.exe
• pavsched.exe
• pavsrv50.exe
• pavsrv51.exe
• pavsrv52.exe
• pavupg.exe
• paxton.net2.clientservice.exe
• paxton.net2.commsserverservice.exe
• pccclient.exe
• pccguide.exe
• pcclient.exe
• pccnt.exe
• pccntmon.exe
• pccntupd.exe
• pccpfw.exe
• pcctlcom.exe
• pcscan.exe
• pcscm.exe
• pcscnsrv.exe
• pcsws.exe
• pctsauxs.exe
• pctsgui.exe
• pctssvc.exe
• pctstray.exe
• pep.exe
• persfw.exe
• pmgreader.exe
• pmon.exe
• pnmsrv.exe
• pntiomon.exe
• pop3pack.exe
• pop3trap.exe
• poproxy.exe
• powerpnt.exe
• ppclean.exe
• ppctlpriv.exe
• ppmcativedetection.exe
• ppppwallrun.exe
• pqibrowser.exe
• pqv2isvc.exe
• pralarmmgr.exe
• prcalculationmgr.exe
• prconfigmgr.exe
• prdatabasemgr.exe
• premailengine.exe
• preventmgr.exe
• prevsrv.exe
• prftpengine.exe
• prgateway.exe
• printdevice.exe
• privacyiconclient.exe
• prlicensemgr.exe
• procexp.exe
• proficy administrator.exe
• proficyclient.exe
• proficypublisherservice.exe
• proficyserver.exe
• proficysts.exe
• proutil.exe
• prprintserver.exe
• prproficymgr.exe
• prrds.exe
• prreader.exe
• prrouter.exe
• prschedulemgr.exe
• prstubber.exe
• prsummarymgr.exe
• prunsrv.exe
• prwriter.exe
• psanhost.exe
• psctris.exe
• psctrls.exe
• psh_svc.exe
• pshost.exe
• psimreal.exe
• psimsvc.exe
• pskmssvc.exe
• psuamain.exe
• psuaservice.exe
• pthosttr.exe
• pview.exe
• pviewer.exe
• pwdfilthelp.exe
• pxemtftp.exe
• pxeservice.exe
• qclean.exe
• qdcsfs.exe
• qhactivedefense.exe
• qhsafetray.exe
• qhwatchdog.exe
• qoeloader.exe
• qserver.exe
• rapapp.exe
• rapuisvc.exe
• ras.exe
• rasupd.exe
• rav.exe
• ravalert.exe
• ravmon.exe
• ravmond.exe
• ravservice.exe
• ravstub.exe
• ravtask.exe
• ravtray.exe
• ravupdate.exe
• ravxp.exe
• rcsvcmon.exe
• rdrcef.exe
• realmon.exe
• redirsvc.exe
• regmech.exe
• remupd.exe
• repmgr64.exe
• reportersvc.exe
• reportingservicesservice.exe
• reportsvc.exe
• retinaengine.exe
• rfwmain.exe
• rfwproxy.exe
• rfwsrv.exe
• rfwstub.exe
• rnav.exe
• rnreport.exe
• routernt.exe
• rpcserv.exe
• rscd.exe
• rscdsvc.exe
• rsnetsvr.exe
• rssensor.exe
• rstray.exe
• rtvscan.exe
• rulaunch.exe
• safeservice.exe
• sahookmain.exe
• saservice.exe
• sav32cli.exe
• savadminservice.exe
• savfmsectrl.exe
• savfmselog.exe
• savfmsesjm.exe
• savfmsesp.exe
• savfmsespamstatsmanager.exe
• savfmsesrv.exe
• savfmsetask.exe
• savfmseui.exe
• savmain.exe
• savroam.exe
• savscan.exe
• savservice.exe
• savui.exe
• sbamsvc.exe
• sbserv.exe
• scan32.exe
• scanfrm.exe
• scanmailoutlook.exe
• scanmsg.exe
• scansbserv.exe
• scanwscs.exe
• scfagent_64.exe
• scfmanager.exe
• scfservice.exe
• scftray.exe
• schdsrvc.exe
• schupd.exe
• sdrservice.exe
• sdtrayapp.exe
• seanalyzertool.exe
• seccenter.exe
• securitycenter.exe
• securitymanager.exe
• seestat.exe
• semsvc.exe
• server_eventlog.exe
• server_runtime.exe
• sesclu.exe
• setloadorder.exe
• setupguimngr.exe
• sevinst.exe
• sgbhp.exe
• shstat.exe
• sidebar.exe
• siteadv.exe
• slee81.exe
• smc.exe
• smcgui.exe
• smex_activeupda
• smex_master.exe
• smex_remoteconf
• smex_systemwatc
• smoutlookpack.exe
• sms.exe
• smsectrl.exe
• smselog.exe
• smsesjm.exe
• smsesp.exe
• smsesrv.exe
• smsetask.exe
• smseui.exe
• smsx.exe
• snac.exe
• sndmon.exe
• sndsrvc.exe
• snhwsrv.exe
• snicheckadm.exe
• snichecksrv.exe
• snicon.exe
• snsrv.exe
• spbbcsvc.exe
• spideragent.exe
• spiderml.exe
• spidernt.exe
• spiderui.exe
• spntsvc.exe
• spooler.exe
• spyemergency.exe
• spyemergencysrv.exe
• sqbcoreservice.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlservr.exe
• sqlwriter.exe
• srvload.exe
• srvmon.exe
• sschk.exe
• ssecuritymanager.exe
• ssm.exe
• ssp.exe
• ssscheduler.exe
• starta.exe
• steam.exe
• stinger.exe
• stopa.exe
• stopp.exe
• stwatchdog.exe
• svcgenerichost
• svcharge.exe
• svcntaux.exe
• svdealer.exe
• svframe.exe
• svtray.exe
• swc_service.exe
• swdsvc.exe
• sweepsrv.sys
• swi_service.exe
• swnetsup.exe
• swnxt.exe
• swserver.exe
• symlcsvc.exe
• symproxysvc.exe
• symsport.exe
• symtray.exe
• symwsc.exe
• synctime.exe
• sysdoc32.exe
• sysoptenginesvc.exe
• system.exe
• taskhostw.exe
• tbirdconfig.exe
• tbmon.exe
• tclproc.exe
• tdimon.exe
• teamviewer_service.exe
• tfgui.exe
• tfservice.exe
• tftray.exe
• tfun.exe
• thebat.exe
• thebat64.exe
• thunderbird.exe
• tiaspn~1.exe
• tmas.exe
• tmlisten.exe
• tmntsrv.exe
• tmpfw.exe
• tmproxy.exe
• tnbutil.exe
• tnslsnr.exe
• toolbarupdater.exe
• tpsrv.exe
• traflnsp.exe
• traptrackermgr.exe
• trjscan.exe
• trupd.exe
• tsansrf.exe
• tsatisy.exe
• tscutynt.exe
• tsmpnt.exe
• ucservice.exe
• udaterui.exe
• uiseagnt.exe
• uiwatchdog.exe
• umxagent.exe
• umxcfg.exe
• umxfwhlp.exe
• umxpol.exe
• unsecapp.exe
• unvet32.exe
• up2date.exe
• update_task.exe
• updaterui.exe
• updtnv28.exe
• upfile.exe
• uplive.exe
• uploadrecord.exe
• upschd.exe
• url_response.exe
• urllstck.exe
• usbguard.exe
• useractivity.exe
• useranalysis.exe
• usergate.exe
• usrprmpt.exe
• v2iconsole.exe
• v3clnsrv.exe
• v3exe
• v3imscn.exe
• v3lite.exe
• v3main.exe
• v3medic.exe
• v3sp.exe
• v3svc.exe
• vetmsg.exe
• vettray.exe
• vgauthservice.exe
• visio.exe
• vmacthlp.exe
• vmtoolsd.exe
• vmware-converter.exe
• vmware-converter-a.exe
• vmwaretray.exe
• vpatch.exe
• vpc32.exe
• vpdn_lu.exe
• vprosvc.exe
• vprot.exe
• vptray.exe
• vrv.exe
• vrvmail.exe
• vrvmon.exe
• vrvnet.exe
• vshwin32.exe
• vsmain.exe
• vsmon.exe
• vsserv.exe
• vsstat.exe
• vstskmgr.exe
• webproxy.exe
• webscanx.exe
• websensecontrolservice.exe
• webtrapnt.exe
• wfxctl32.exe
• wfxmod32.exe
• wfxsnt40.exe
• win32sysinfo.exe
• winlog.exe
• winroute.exe
• winvnc4.exe
• winword.exe
• wordpad.exe
• workflowresttest.exe
• wrctrl.exe
• wrsa.exe
• wrspysetup.exe
• wscntfy.exe
• wssfcmai.exe
• wtusystemsuport.exe
• xcommsvr.exe
• xfilter.exe
• xfssvccon.exe
• zanda.exe
• zapro.exe
• zavaux.exe
• zavcore.exe
• zillya.exe
• zlclient.exe
• zlh.exe
• zonealarm.exe
• zoolz.exe

その他

マルウェアは、以下を実行します。

• Avoids encrypting files that satisfies all of the following conditions:
  • Filename contains any of the following strings:
  • .bat
  • .blf
  • .cmd
  • .config
  • .devicemetadata-ms
  • .dll
  • .exe
  • .ico
  • .lnk
  • .manifest
  • .mui
  • .olb
  • .ps1
  • .regtrans-ms
  • .settingcontent-ms
  • .sys
  • .tlb
  • bootmgr
  • bootnxt
  • desktop.ini
  • iconcache.db
  • ntuser.dat
  • ntuser.dat.log1
  • ntuser.dat.log2
  • ntuser.ini
  • usrclass.dat
  • usrclass.dat.log1
  • usrclass.dat.log2
  • File path contains any of the following strings:
  • %Windows%
  • %System Root%
  • :\$Recycle.Bin
  • :\ProgramData
  • :\Users\All Users
  • :\Program Files
  • :\Local Settings
  • :\Boot
  • :\System Volume Information
  • :\Recovery
  • \\AppData\\
• It encrypt files found in Removable and Fixed drives.
• Capable of deleting shadow copies.
• It terminates the following services if found running on the affected system(s):
  • Acronis VSS Provider
  • AcronisAgent
  • AcrSch2Svc
  • AdobeARMService
  • Alerter
  • Antivirus
  • ARSM
  • aswBcc
  • Avast Business Console Client Antivirus Service
  • avast! Antivirus
  • avbackup
  • AVP
  • BackupExecAgentAccelerator
  • BackupExecAgentBrowser
  • BackupExecDeviceMediaService
  • BackupExecJobEngine
  • BackupExecManagementService
  • BackupExecRPCService
  • BackupExecVSSProvider
  • bcrservice
  • bedbg
  • BITS
  • BlueStripeCollector
  • BrokerInfrastructure
  • ccEvtMgr
  • ccSetMgr\SymbOS
  • Cisserv
  • CpqRcmc3
  • CSAdmin
  • CSAuth
  • CSDbSync
  • CSLog
  • CSMon
  • CSRadius
  • CSTacacs
  • DB2-0
  • DB2DAS00
  • DB2GOVERNOR_DB2COPY1
  • DB2INST2
  • DB2LICD_DB2COPY1
  • DB2MGMTSVC_DB2COPY1
  • DB2REMOTECMD_DB2COPY1
  • DCAgent
  • EhttpSrv
  • ekrn
  • Enterprise Client Service
  • epag
  • EPIIntegrationService
  • EPProtectedService
  • epredline
  • EPServiceSecurity
  • EPUpdateService
  • EraserSvc11710
  • ERSvc
  • EsgShKernel
  • ESHASRV
  • Eventlog
  • FA_Scheduler
  • GoogleChromeElevationService
  • gupdate
  • gupdatem
  • HealthService
  • IBMDataServerMgr
  • IBMDSServer41
  • IDriverT
  • IISAdmin
  • IMAP4Svc
  • ImapiService
  • KAVFS
  • KAVFSGT
  • kavfsslp
  • klnagent
  • LogProcessorService
  • LRSDRVX
  • macmnsvc
  • masvc
  • MBAMService
  • MBEndpointAgent
  • McAfee SiteAdvisor Enterprise Service
  • McAfeeEngineService
  • MCAFEEEVENTPARSERSRV
  • McAfeeFramework
  • McAfeeFrameworkMcAfeeFramework
  • MCAFEETOMCATSRV530
  • McShield
  • McTaskManager
  • mfefire
  • mfemms
  • mfevtp
  • mfewc
  • MMS
  • mozyprobackup
  • MsDtsServer
  • MsDtsServer100
  • MsDtsServer110
  • MsDtsServer130
  • MSExchangeES
  • MSExchangeIS
  • MSExchangeMGMT
  • MSExchangeMTA
  • MSExchangeSA
  • MSExchangeSRS
  • msftesql$PROD
  • msftesql$PROD
  • MSMQ
  • MSOLAP$SQL_2008
  • MSOLAP$SYSTEM_BGC
  • MSOLAP$TPS
  • MSOLAP$TPSAMA
  • MSSQL$BKUPEXEC
  • MSSQL$CITRIX_METAFRAME
  • MSSQL$ECWDB2
  • MSSQL$EPOSERVER
  • MSSQL$ITRIS
  • MSSQL$NET2
  • MSSQL$PRACTICEMGMT
  • MSSQL$PRACTTICEBGC
  • MSSQL$PROD
  • MSSQL$PROFXENGAGEMENT
  • MSSQL$SBSMONITORING
  • MSSQL$SHAREPOINT
  • MSSQL$SOPHOS
  • MSSQL$SQL_2008
  • MSSQL$SQLEXPRESS
  • MSSQL$SYSTEM_BGC
  • MSSQL$TPS
  • MSSQL$TPSAMA
  • MSSQL$VEEAMSQL2008
  • MSSQLFDLauncher
  • MSSQLFDLauncher$ITRIS
  • MSSQLFDLauncher$PROFXENGAGEMENT
  • MSSQLFDLauncher$PROFXENGAGEMENT
  • MSSQLFDLauncher$SBSMONITORING
  • MSSQLFDLauncher$SHAREPOINT
  • MSSQLFDLauncher$SQL_2008
  • MSSQLFDLauncher$SYSTEM_BGC
  • MSSQLFDLauncher$TPS
  • MSSQLFDLauncher$TPSAMA
  • MSSQLLaunchpad$ITRIS
  • MSSQLSERVER
  • MSSQLServerAdHelper
  • MSSQLServerADHelper
  • MSSQLServerADHelper100
  • MSSQLServerOLAPService
  • msvsmon90
  • myAgtSvc
  • MySQL57MSSQL$TPSAMA
  • MySQL80
  • Net2ClientSvc
  • NetDDE
  • NetSvc
  • NimbusWatcherServicex
  • NtLmSsp
  • NtmSvc
  • ntrtscan
  • odserv
  • OracleClientCache
  • PDVFSService
  • POP3Svc
  • ProLiantMonitor
  • ReportServer
  • ReportServer$SQL_2008
  • ReportServer$SYSTEM_BGC
  • ReportServer$TPS
  • ReportServer$TPSAMA
  • ReportServert$TPS
  • RESvc
  • RSCDsvc
  • RumorServer
  • sacsvr
  • SamSs
  • SAVAdminService
  • SAVService
  • SDD_Service
  • SDRSVC
  • SentinelAgent
  • SentinelHelperService
  • SentinelStaticEngine
  • SepMasterService
  • SepMasterServiceMig
  • ShMonitor
  • Smcinst
  • SmcService
  • SMTPSvc
  • SNAC
  • SnowInventoryClient
  • SntpService
  • Sophos Agent
  • Sophos AutoUpdate Service
  • Sophos Clean Service
  • Sophos Device Control Service
  • Sophos File Scanner Service
  • Sophos Health Servicer
  • Sophos MCS Agent
  • Sophos MCS Client
  • Sophos Message Router
  • Sophos Safestore Service
  • Sophos System Protection Service
  • Sophos Web Control Service
  • sophossps
  • SQL Backups
  • SQLAgen$ITRIS
  • SQLAgent$BKUPEXEC
  • SQLAgent$CITRIX_METAFRAME
  • SQLAgent$CXDB
  • SQLAgent$ECWDB2
  • SQLAgent$EPOSERVER
  • SQLAgent$NET2
  • SQLAgent$PRACTTICEBGC
  • SQLAgent$PRACTTICEMGT
  • SQLAgent$PROD
  • SQLAgent$PROD
  • SQLAgent$PROFXENGAGEMENT
  • SQLAgent$SBSMONITORING
  • SQLAgent$SHAREPOINT
  • SQLAgent$SOPHOS
  • SQLAgent$SOPHOS
  • SQLAgent$SQL_2008
  • SQLAgent$SQLEXPRESS
  • SQLAgent$SYSTEM_BGC
  • SQLAgent$TPS
  • SQLAgent$TPSAMA
  • SQLAgent$VEEAMSQL2008R2
  • SQLAgent$VEEAMSQL2012
  • SQLBrowser
  • SQLBrowser
  • SQLsafe Backup Service
  • SQLsafe Filter Service
  • SQLSafeOLRService
  • SQLSREVERAGENT
  • SQLTELEMETRY
  • SQLTELEMETRY$ECWDB2
  • SQLTELEMETRY$ITRIS
  • SQLWriter
  • SSISTELEMTRY130
  • SstpSvcSQLAgent$ECWDB2
  • svcGenericHost
  • swi_filter
  • swi_service
  • swi_update
  • swi_update_64
  • Symantec System Recovery
  • sysdown
  • System
  • TelemtryServer
  • TlntSvr
  • TMCCSF
  • tmlisten
  • TmPfw
  • tpautoconnsvc
  • TPVCGateway
  • TrueKey
  • TrueKeyScheduleri
  • TrueKeyServiceHelper
  • UI0Detect
  • Veeam Backup Catalog Data Service
  • VeeamBackupSvc
  • VeeamBrokerSvc
  • VeeamCatalogSvc
  • VeeamCloudSvc
  • VeeamDeploymentService
  • VeeamDeploySvc
  • VeeamEnterpriseManager
  • VeeamEnterpriseManagerSvc
  • VeeamHvIntegrationSvc
  • VeeamMountSvc
  • VeeamNFSSvc
  • VeeamRESTSvc
  • VeeamTransportSvc
  • VGAuthService
  • VMTools
  • VMWare
  • VMwareCAFCommAmqpListener
  • VMwareCAFManagementAgentHost
  • vmware-converter-agent
  • vmware-converter-server
  • vmware-converter-worker
  • W3Svc
  • wbengine
  • WdNisSvc
  • WebClient
  • WinDefend
  • WinVNC4SWF dump
  • WRSVC
  • Zoolz 2 Service

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• ntldr
• NTDETECT.COM
• boot.ini
• bootsect.bak
• bootfont.bin
• ctfmon.exe
• desktop.ini
• iconcache.db
• ntuser.dat
• ntuser.dat.log
• ntuser.ini
• thumbs.db

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• %Windows%

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Original Filename}.{Original extension}{5 Random Characters}

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\Fix-Your-Files.txt
• %System Root%\Fix-Your-Files.txt