Ransom.Win32.PAYMEN.THA
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- vssadmin delete shadows /all /quiet -> deletes shadow copies
- %System%\cmd.exe /c timeout 1 && del {Malware path}\{Filename}.exe >> NUL -> deletes the malware itself after execution
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- ADHelper100
- AVP18.0.0
- DDVCollectorSvcApi
- DDVDataCollector
- DellOSDService
- DymoPnpServiceAgent
- FDLauncher
- FJTWMKSV
- IAStorDataMgrSvc
- IPROSetMonitor
- IRMTService
- IntelCpHDCPSvc
- IntelCpHeciSvc
- KLIF
- KSD.E1.0.0
- LMS
- MBCloudEA
- MSSQL
- MSSQLSERVER
- MSSQLServer
- MSSQLServerOLAPService
- MediaButtons
- Microsoft.Photos
- MsDtsServer100
- MsDtsServer130
- OfficeClickToRun
- QBCFMonitorService
- QBIDPService
- RAVBg64
- ReportServer
- RstMwService
- SQLAgent
- SQLBrowser
- SQLSERVERAGENT
- SQLTELEMETRY
- SQLWriter
- SSISTELEMETRY130
- TMBMServer
- TMLWCSService
- TMSmartRelayService.
- TMiCRCScanService
- TeamViewer
- TeamViewer_Service
- TmCCSF
- TmFilter
- TmPreFilter
- TmProxy
- TodoBackupService
- UniFi
- VSApiNt
- WRSVC
- ackupdisk
- armsvc
- dasHost
- ekrn
- jhi_service
- klb
- klbackupflt
- klflt
- klhk
- klim6
- klkbdflt
- klmouflt
- klpd
- kltap
- ntrtscan
- ofcservice
- postgresql-x64-9.4
- storflt
- tmlisten
- tmusa
- tv_w32
- tv_x64
- unsecapp
- vds
- vmicguestinterface
- vmickvpexchange
- vmicrdv
- vmicshutdownvmicheartbeat
- vmictimesync
- vmicvss
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- Agent.exe
- DellOSDService.exe
- DymoPnpService.exe
- FJTWMKSV.exe
- IPROSetMonitor.exe
- IRMTService.exe
- IntelCpHDCPSvc.exe
- MBCloudEA.exe
- MsDtsSrvr.exe
- OfficeClickToRun.exe
- QBCFMonitorService.exe
- QBIDPService.exe
- ReportingServicesService.exe
- RstMwService.exe
- SQLAGENT.EXE
- Ssms.exe
- TeamViewer_Service.exe
- UniFi.exe
- armsvc.exe
- dasHost
- fdhost.exe
- fdlauncher.exe
- msftesql.exe
- msmdsrv.exe
- pg_ctl.exe
- postgres.exe
- sqlbrowser.exe
- sqlceip.exe
- sqlservr.exe
- sqlwriter.exe
ランサムウェアの不正活動
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- AppData
- Windows
- System Volume Information
- readme.txt
- {Malware Filename}.exe
マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。
- {Original Filename}.{Original File Extension}.g8R4rqWp9
マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。
- {Encrypted Drive}:\readme.txt
- {Encrypted directory}\readme.txt
以下のファイル拡張子を持つファイルについては暗号化しません:
- .scr
- .cmd
- .dll
- .bat
- .cpl
- .sys
- .msc
- .com
- .lnk
- .msp
- .pif
- .g8R4rqWp9
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF035
手順 2
Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「Ransom.Win32.PAYMEN.THA」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
以下のファイルを検索し削除します。
- Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合:
- [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合:
- 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
- Windows Vista、7 および Server 2008 の場合:
- [コンピューターの検索]に、以下を入力します。
DATA_GENERIC - ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.)から4 .)を繰り返してください。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.PAYMEN.THA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください