Ransom.Win32.RAGNAR.YPCIM
Ransom:Win32/RagnarLocker.B(MICROSOFT), Trojan-Ransom.Ragnarlocker(IKARUS)
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- wmic.exe shadowcopy delete
- bcdedit /set {default} recoveryenabled No
- bcdedit /set {default} bootstatuspolicy IgnoreAllFailures
- bcdedit /set {globalsettings} advancedoptions false
- It executes this powershell command if PccNtMon.exe or uiSeAgnt.exe found running in the affected system's memory and OS version is not Windows 7 and Windows Server 2008 R2:
- powershell.exe -EncodedCommand {Base64 Encoded Command}
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- ArcserveUDPIS
- ArcserveUDPPS
- ASLogWatch
- AvamarSQLTLR
- avbackup
- backup
- backup
- bvckup2
- CAARCAppSvc
- CASAD2DWebSvc
- CASARCUpdateSVC
- CASARPSWebSvc
- CASDatastoreSvc
- Cohesity
- CommVault
- connectwise
- CVContentPreview
- CvMessageQueueer
- exchange
- GxBlr
- GxClMgrS
- GxCVD
- GxEvMgrC
- GxFWD
- GXHSM
- GXHSM Recaller
- GXMMM
- GxVssProv
- hyper-v
- logme
- logmein
- memtas
- mepocs
- MsDtsServer140
- msexchange
- MSSQLFDLaunch
- MSSQLSERVER
- MSSQLServerOLAPService
- netbackup
- NwxExeSvc
- outlook
- pulseway
- ShProvd
- sophos
- splashtop
- sql
- SQL
- SQLSERVERAGENT
- symantec
- uavrsvc
- veeam
- veritas
- vss
- WscrAgent
- wuauserv
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- AFD2DMinitor.exe
- agntsvc
- AgPkiMon.exe
- ARCUpdate.exe
- avagent.exe
- avscc.exe
- backup
- benetns
- bengine
- beremote
- beserver
- BlrSvc.exe
- bvckup2.exe
- ClMgrS.exe
- Cohesity
- commvault
- cvd.exe
- cvfwd.exe
- CvMessageQueue.exe
- CVMountd.exe
- DataCube.exe
- DataStoreInstService.exe
- dbeng50
- dbsnmp
- dfsrs.exe
- dfssvc.exe
- DSFileServer.exe
- EduLink2SIMS
- encsvc
- evmgrc.exe
- excel
- fdhost
- firefox
- GDDServer.exe
- GXHSMService.exe
- httpd.exe
- hyper-v
- infopath
- isqlplussvc
- java.exe
- msaccess
- msexchange
- mspub
- mydesktopqos
- mydesktopservice
- mysql
- netbackup
- netwrix
- netwrix.wsa.agentservice.exe
- netwrixremotinghost64.exe
- nwxexesvc.exe
- ocautoupds
- ocomm
- ocssd
- onenote
- oracle
- outlook
- OWSTIMER
- postgres
- powerpnt
- pvlsvr
- SAVAdminService
- SavService.exe
- sophos
- sqbcoreservice
- sql
- SQLAGENT.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- steam
- store.exe
- swc_service.exe
- symantec
- sync_utl_d.exe
- synctime
- tbirdconfig
- TeamViewer
- Teamviwer
- thebat
- thunderbird
- tomcat9.exe
- uavragent.exe
- veeam
- veritas
- visio
- Vmware
- VSS_SWProv_Svc.exe
- VxLockdownServer
- winword
- wordpad
- WSSADMIN
- wsstracing
- xfssvccon
その他
マルウェアは、以下を実行します。
- Terminates itself if system's Country Locale is from one of the following countries:
- Azerbaijan
- Armenia
- Belarus
- Kazakhstan
- Kyrgyzstan
- Moldova
- Tajikistan
- Russia
- Turkmenistan
- Uzbekistan
- Ukraine
- Georgia
- It empties recycle bin
マルウェアは、以下のパラメータを受け取ります。
- -backup → deletes shadow copies only
- -list {Text File} → deletes shadow copies and encrypts only the directories indicated on the text file
- -path → deletes shadow copies and encrypts only the path provided
- -vm → deletes shadow copies and encrypts the whole machine avoiding files,folders and file extensions stated below
- -vmback → deletes shadow copies and encrypts the whole machine avoiding files and file extensions stated below
- -pass {key} → decryption of some portion of the malware.
- -safemode
- -silent_path
- -silent
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- Autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- bootmgr
- bootmgr.efi
- mootmgfw.efi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- thumbs.db
マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。
- Windows
- Windows.old
- Tor Browser
- Internet Explorer
- $Recycle.Bin
- ProgramData
- Sysvol
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .{6 Random Characters}_你好世界
マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。
- {Encrypted Directory}\!_R^A^G^N^A^R_!_NOTES_{Hashed ComputerName}_!.txt
以下のファイル拡張子を持つファイルについては暗号化しません:
- .sys
- .dll
- .lnk
- .msi
- .drv
- .exe
- .efi
- .mui
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF060
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
以下のファイルを検索し削除します。
- {Encrypted Directory}\!_R^A^G^N^A^R_!_NOTES_{Hashed ComputerName}_!.txt
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.RAGNAR.YPCIM」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください