Ransom.Win32.GANDCRAB.TIOIBOCH
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、身代金要求文書を作成します。
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、特定の脆弱性を利用した感染活動を実行します。
詳細
侵入方法
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\bxmeoengtf.bmp
- {Encrypted Folder}\{Random}-MANUAL.txt
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- AversSucksForever
他のシステム変更
マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\bxmeoengtf.bmp"
マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- agntsvc.exe
- dbeng50.exe
- dbsnmp.exe
- encsvc.exe
- excel.exe
- firefoxconfig.exe
- infopath.exe
- isqlplussvc.exe
- msaccess.exe
- msftesql.exe
- mspub.exe
- mydesktopqos.exe
- mydesktopservice.exe
- mysqld-nt.exe
- mysqld-opt.exe
- mysqld.exe
- ocautoupds.exe
- ocomm.exe
- ocssd.exe
- onenote.exe
- oracle.exe
- outlook.exe
- powerpnt.exe
- sqbcoreservice.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- steam.exe
- synctime.exe
- tbirdconfig.exe
- thebat.exe
- thebat64.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
- xfssvccon.exe
情報漏えい
マルウェアは、以下の情報を収集します。
- Username
- Computer Name
- Network Information
- System Language
- Machine Keyboard Layout
- OS Version and Platform
- AV Products Installed
- Processor Information
- IP Address
- Drives Information (Nerwork or Local)
- Ransom ID
- GandCrab Internal Info:
- id
- sub_id
- version
- action
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{URL}/{string1}/{string2}/{string3}.{string4}
- Where URL is equal to the following:
- www.{BLOCKED}e.com
- www.{BLOCKED}rsport.biz
- www.{BLOCKED}thotelbasel.com
- www.{BLOCKED}tarium.org
- www.{BLOCKED}odge.com
- www.{BLOCKED}otelzurich.com
- www.{BLOCKED}enthaus.com
- www.{BLOCKED}e-hotel.com
- www.{BLOCKED}ecouronne.com
- www.{BLOCKED}emontblanc.com
- www.{BLOCKED}uewiesen.com
- www.{BLOCKED}ere-locarno.com
- www.{BLOCKED}us-toni.com
- www.{BLOCKED}sel.com
- www.{BLOCKED}iinfissi.com
- www.{BLOCKED}acolline.com
- www.{BLOCKED}t.com
- www.{BLOCKED}l-adelboden.com
- www.{BLOCKED}o.net
- www.{BLOCKED}esurcoux.net
- www.{BLOCKED}egas-avocats.net
- www.{BLOCKED}e-d-hote-chez-fleury.com
- www.{BLOCKED}ge.com
- www.{BLOCKED}n.org
- www.{BLOCKED}h.mehrmarken.net
- www.{BLOCKED}iel.com
- www.{BLOCKED}otel.com
- www.{BLOCKED}entalchalet.com
- www.{BLOCKED}z.com
- www.{BLOCKED}ok.com
- www.{BLOCKED}ht.net
- www.{BLOCKED}gs-hotel.com
- www.{BLOCKED}ay.biz
- www.{BLOCKED}-schwyn.mehrmarken.net
- www.{BLOCKED}le.net
- www.{BLOCKED}a.frasershospitality.com
- www.{BLOCKED}golf.com
- www.{BLOCKED}elier.net
- www.{BLOCKED}nau.biz
- www.{BLOCKED}ckhoteldavos.com
- www.{BLOCKED}neva.com
- www.{BLOCKED}ck.biz
- www.{BLOCKED}blumental.com
- www.{BLOCKED}zermatt.com
- www.{BLOCKED}lbanareal.com
- www.{BLOCKED}hery.com
- www.{BLOCKED}reirosen.net
- www.{BLOCKED}arinet.com
- www.{BLOCKED}arni-battello.com
- www.{BLOCKED}lanis.com
- www.{BLOCKED}ido-lugano.com
- www.{BLOCKED}lden.com
- www.{BLOCKED}otonde.com
- www.{BLOCKED}ruite.com
- www.{BLOCKED}eisshorn.com
- www.{BLOCKED}moz.com
- www.{BLOCKED}taad.com
- www.{BLOCKED}s.com
- www.{BLOCKED}mmermann.net
- www.{BLOCKED}orp.link
- www.{BLOCKED}orp.name
- www.{BLOCKED}fs.net
- www.{BLOCKED}egensberg.com
- www.{BLOCKED}taine.com
- www.{BLOCKED}une.net
- www.{BLOCKED}le-haus.org
- www.{BLOCKED}nt-hubert.com
- www.{BLOCKED}emond.com
- www.{BLOCKED}hof.com
- www.{BLOCKED}hoteladmiral.com
- www.{BLOCKED}e.com
- www.{BLOCKED}e-residenza.com
- www.{BLOCKED}inhostel.com
- www.{BLOCKED}alzermatt.com
- www.{BLOCKED}oiffure.ch
- www.{BLOCKED}.org
- www.{BLOCKED}els.com
- www.{BLOCKED}adelcentro.net
- www.{BLOCKED}paradis.com
- www.{BLOCKED}m.com
- www.{BLOCKED}uus.com
- www.{BLOCKED}fure.net
- www.{BLOCKED}-crosets.com
- www.{BLOCKED}coiffure-geneve.net
- www.{BLOCKED}nerhof.com
- www.{BLOCKED}delberg.com
- www.{BLOCKED}sprungzimmer24.com
- www.{BLOCKED}rhotel.com
- www.{BLOCKED}n.com
- www.{BLOCKED}ach.com
- www.{BLOCKED}stophesa.com
- www.{BLOCKED}ellness.com
- www.{BLOCKED}el.com
- www.{BLOCKED}and-garage.mehrmarken.net
- www.{BLOCKED}ledore.com
- www.{BLOCKED}rtia.org
- www.{BLOCKED}x.net
- www.{BLOCKED}larus.com
- www.{BLOCKED}od.com
- Where string1 is equal to the following:
- wp-content
- static
- content
- includes
- data
- uploads
- news
- Where string2 is equal to the following:
- images
- pictures
- image
- graphic
- assets
- pics
- imgs
- tmp
- Where string3 is equal to the combination of the following:
- im
- de
- ka
- ke
- am
- es
- so
- fu
- se
- da
- he
- ru
- me
- mo
- th
- zu
- Where string4 is equal to the following:
- jpg
- png
- gif
- bmp
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- desktop.ini
- autorun.inf
- ntuser.dat
- iconcache.db
- bootsect.bak
- boot.ini
- ntuser.dat.log
- thumbs.db
- ntldr
- NTDETECT.COM
- Bootfont.bin
- -MANUAL.txt
マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。
- %Application Data%
- %All Users Profile%
- %User Profile%
- %ProgramFiles%
- %System Root%
- \{Computer Name}
- %Public%
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8の場合、通常 "C:\ProgramData” です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .{Random}
マルウェアが作成する以下のファイルは、脅迫状です。
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\bxmeoengtf.bmp
- {暗号化されたフォルダ}\{ランダム}-MANUAL.txt
情報漏えい
マルウェアは、以下の情報を収集します。
- ユーザ名
- コンピュータ名
- ネットワーク情報
- コンピュータ言語
- コンピュータのキーボードレイアウト
- OSのバージョンとプラットフォーム
- インストールされたウイルス対策製品
- プロセッサ情報
- IPアドレス
- ドライブ情報 (ネットワークまたはローカル)
- Ransom ID
- GandCrabの内部情報:
- id
- sub_id
- version
- action
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{URL}/{文字列1}/{文字列2}/{文字列3}.{文字列4}
- URLには、以下が当てはまります。
- www.{BLOCKED}e.com
- www.{BLOCKED}rsport.biz
- www.{BLOCKED}thotelbasel.com
- www.{BLOCKED}tarium.org
- www.{BLOCKED}odge.com
- www.{BLOCKED}otelzurich.com
- www.{BLOCKED}enthaus.com
- www.{BLOCKED}e-hotel.com
- www.{BLOCKED}ecouronne.com
- www.{BLOCKED}emontblanc.com
- www.{BLOCKED}uewiesen.com
- www.{BLOCKED}ere-locarno.com
- www.{BLOCKED}us-toni.com
- www.{BLOCKED}sel.com
- www.{BLOCKED}iinfissi.com
- www.{BLOCKED}acolline.com
- www.{BLOCKED}t.com
- www.{BLOCKED}l-adelboden.com
- www.{BLOCKED}o.net
- www.{BLOCKED}esurcoux.net
- www.{BLOCKED}egas-avocats.net
- www.{BLOCKED}e-d-hote-chez-fleury.com
- www.{BLOCKED}ge.com
- www.{BLOCKED}n.org
- www.{BLOCKED}h.mehrmarken.net
- www.{BLOCKED}iel.com
- www.{BLOCKED}otel.com
- www.{BLOCKED}entalchalet.com
- www.{BLOCKED}z.com
- www.{BLOCKED}ok.com
- www.{BLOCKED}ht.net
- www.{BLOCKED}gs-hotel.com
- www.{BLOCKED}ay.biz
- www.{BLOCKED}-schwyn.mehrmarken.net
- www.{BLOCKED}le.net
- www.{BLOCKED}a.frasershospitality.com
- www.{BLOCKED}golf.com
- www.{BLOCKED}elier.net
- www.{BLOCKED}nau.biz
- www.{BLOCKED}ckhoteldavos.com
- www.{BLOCKED}neva.com
- www.{BLOCKED}ck.biz
- www.{BLOCKED}blumental.com
- www.{BLOCKED}zermatt.com
- www.{BLOCKED}lbanareal.com
- www.{BLOCKED}hery.com
- www.{BLOCKED}reirosen.net
- www.{BLOCKED}arinet.com
- www.{BLOCKED}arni-battello.com
- www.{BLOCKED}lanis.com
- www.{BLOCKED}ido-lugano.com
- www.{BLOCKED}lden.com
- www.{BLOCKED}otonde.com
- www.{BLOCKED}ruite.com
- www.{BLOCKED}eisshorn.com
- www.{BLOCKED}moz.com
- www.{BLOCKED}taad.com
- www.{BLOCKED}s.com
- www.{BLOCKED}mmermann.net
- www.{BLOCKED}orp.link
- www.{BLOCKED}orp.name
- www.{BLOCKED}fs.net
- www.{BLOCKED}egensberg.com
- www.{BLOCKED}taine.com
- www.{BLOCKED}une.net
- www.{BLOCKED}le-haus.org
- www.{BLOCKED}nt-hubert.com
- www.{BLOCKED}emond.com
- www.{BLOCKED}hof.com
- www.{BLOCKED}hoteladmiral.com
- www.{BLOCKED}e.com
- www.{BLOCKED}e-residenza.com
- www.{BLOCKED}inhostel.com
- www.{BLOCKED}alzermatt.com
- www.{BLOCKED}oiffure.ch
- www.{BLOCKED}.org
- www.{BLOCKED}els.com
- www.{BLOCKED}adelcentro.net
- www.{BLOCKED}paradis.com
- www.{BLOCKED}m.com
- www.{BLOCKED}uus.com
- www.{BLOCKED}fure.net
- www.{BLOCKED}-crosets.com
- www.{BLOCKED}coiffure-geneve.net
- www.{BLOCKED}nerhof.com
- www.{BLOCKED}delberg.com
- www.{BLOCKED}sprungzimmer24.com
- www.{BLOCKED}rhotel.com
- www.{BLOCKED}n.com
- www.{BLOCKED}ach.com
- www.{BLOCKED}stophesa.com
- www.{BLOCKED}ellness.com
- www.{BLOCKED}el.com
- www.{BLOCKED}and-garage.mehrmarken.net
- www.{BLOCKED}ledore.com
- www.{BLOCKED}rtia.org
- www.{BLOCKED}x.net
- www.{BLOCKED}larus.com
- www.{BLOCKED}od.com
- 文字列1には、以下が当てはまります。
- wp-content
- static
- content
- includes
- data
- uploads
- news
- 文字列2には、以下が当てはまります。
- images
- pictures
- image
- graphic
- assets
- pics
- imgs
- tmp
- 文字列3には、以下のいずれかの文字列の組み合わせが当てはまります。
- im
- de
- ka
- ke
- am
- es
- so
- fu
- se
- da
- he
- ru
- me
- mo
- th
- zu
- 文字列4には、以下が当てはまります。
- jpg
- png
- gif
- bmp
マルウェアは、以下を実行します。
- 以下の拡張子を持つファイルの暗号化を回避します。
- ani
- cab
- cpl
- cur
- diagcab
- diagpkg
- dll
- drv
- lock
- hlp
- ldf
- icl
- icns
- ico
- ics
- lnk
- key
- idx
- mod
- mpa
- msc
- msp
- msstyles
- msu
- nomedia
- ocx
- prf
- rom
- rtp
- scr
- shs
- spl
- sys
- theme
- themepack
- exe
- bat
- cmd
- gandcrab
- KRAB
- CRAB
- zerophage_i_like_your_pictures
- {暗号化されたファイル名に付加された生成されたランダムな文字}
- マルウェアは、シャドウコピーを削除します。
- マルウェアは、以下のウイルス対策およびセキュリティアプリケーションの存在を確認します。
- smc.exe
- AVP.EXE
- ekrn.exe
- avgnt.exe
- ashDisp.exe
- NortonAntiBot.exe
- Mcshield.exe
- avengine.exe
- cmdagent.exe
- persfw.exe
- pccpfw.exe
- fsguiexe.exe
- cfp.exe
- msmpeng.exe
- マルウェアは、すべての利用可能なドライブおよび共有フォルダ内のファイルを暗号化します。
マルウェアは、以下の脆弱性を利用して感染活動を実行します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %User Temp%\bxmeoengtf.bmp
- {Encrypted Folder}\{Random}-MANUAL.txt
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.GANDCRAB.TIOIBOCH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
デスクトッププロパティを修正します。
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.GANDCRAB.TIOIBOCH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください