Ransom.Win32.SAGE.GRC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\{random characters}.tmp
• %User Temp%\{random characters}.bmp
• %User Temp%\{random characters}.vbs
• %Application Data\Microsoft\Speech\Files\UserLexicons\SP_{random characters}.dat

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• {Malware Path} g
• wbadmin delete catalog -quiet
• wmic shadowcopy delete
• vssadmin.exe delete shadows /all /quiet

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {8 characters derived from Machine GUID}

マルウェアは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• explorer.exe

自動実行方法

マルウェアは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

• %User Startup%\{random filename}.lnk

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\Classes\.sage
"" = sage.notice

HKEY_LOCAL_MACHINE\Classes\sage.notice\
DefaultIcon
"" = %System%\shell32.dll, 47

HKEY_LOCAL_MACHINE\Classes\sage.notice\
FriendlyTypeName
"" = encrypted file

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
sage.notice\shell\open\
command
"" = mshta.exe "%Application Data\f1.hta" "%1"

HKEY_CURRENT_USER\Software\AppDataLow\
{random value 1}
{random value 2} = {random binary data}

HKEY_CURRENT_USER\Software\{random value 1}
{random value 2} = {random binary data}

HKEY_USERS\.DEFAULT\{random value 1}
{random value 2} = {random binary data}

HKEY_USERS\{Existing SID}\{random value 1}
{random value 2} = {random binary data}

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
htafile\DefaultIcon
"" = %System%\shell32.dll, 44

(註：変更前の上記レジストリ値は、「%System%\mshta.exe, 1」となります。)

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKCU\Control Panel\Desktop
Wallpaper = %User Temp%\{random characters}.bmp

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}bx3g.0ny42p.net
• {BLOCKED}bx3g.hp8ewo.net

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

• .AAA
• .AAC
• .AAFDS
• .AAH
• .AB
• .ABA
• .ABC
• .ABD
• .ABK
• .ABT
• .ABW
• .AC
• .AC
• .ACA
• .ACC
• .ACCD
• .ACEZ
• .ACF
• .ACH
• .ACI
• .ACM
• .ACP
• .ACR
• .ACRO
• .ACRY
• .ACT
• .AD
• .ADA
• .ADB
• .ADC
• .ADP
• .ADPB
• .ADR
• .ADS
• .ADT
• .AEA
• .AEC
• .AEP
• .AEPX
• .AES
• .AET
• .AFDE
• .AFM
• .AFP
• .AGD
• .AGDL
• .AGE
• .AHF
• .AI
• .AIF
• .AIFF
• .AIM
• .AIP
• .AIS
• .AIT
• .ALA
• .ALAK
• .ALB
• .ALD
• .ALI
• .ALLE
• .ALT
• .AMF
• .AMJ
• .AML
• .AMR
• .AMT
• .AMU
• .AMX
• .AMXX
• .ANL
• .ANN
• .ANS
• .ANSR
• .ANX
• .AOI
• .AP
• .APA
• .APD
• .APE
• .APF
• .API
• .APJ
• .APK
• .APNX
• .APO
• .APP
• .APPR
• .APR
• .APT
• .APW
• .APXL
• .ARC
• .ARCH
• .ARFF
• .ARI
• .ARJ
• .ARO
• .ARR
• .ARS
• .ARV
• .ARW
• .AS
• .ASA
• .ASC
• .ASCM
• .ASCX
• .ASD
• .ASE
• .ASF
• .ASHX
• .ASK
• .ASL
• .ASM
• .ASMX
• .ASN
• .ASND
• .ASP
• .ASPX
• .ASR
• .ASSE
• .AST
• .ASV
• .ASVX
• .ASX
• .ASZ
• .ATH
• .ATI
• .ATL
• .ATOM
• .ATW
• .AUI
• .AUTO
• .AUX
• .AV
• .AVC
• .AVI
• .AVN
• .AVS
• .AWD
• .AWE
• .AWG
• .AWP
• .AWS
• .AWT
• .AWW
• .AWWP
• .AX
• .AZF
• .AZS
• .AZW
• .B
• .BAK
• .BAR
• .BAT
• .BAU
• .BAX
• .BAY
• .BBCD
• .BBL
• .BBPR
• .BBS
• .BC
• .BC
• .BCD
• .BCK
• .BCP
• .BD
• .BDB
• .BDP
• .BDR
• .BDT
• .BEAN
• .BFA
• .BGT
• .BIB
• .BIBGV
• .BIBT
• .BIC
• .BIF
• .BIG
• .BIK
• .BIL
• .BIN
• .BINA
• .BIZD
• .BJF
• .BJL
• .BK
• .BKF
• .BKG
• .BKP
• .BKS
• .BKUP
• .BLD
• .BLEN
• .BLG
• .BLK
• .BLM
• .BLOB
• .BLP
• .BMC
• .BMF
• .BMK
• .BML
• .BMM
• .BMML
• .BMP
• .BMPR
• .BNA
• .BNS
• .BOC
• .BOOK
• .BOP
• .BP
• .BPBP
• .BPDX
• .BPF
• .BPK
• .BPL
• .BPM
• .BPMC
• .BPS
• .BPW
• .BRD
• .BREA
• .BRH
• .BRL
• .BRS
• .BRW
• .BRX
• .BSA
• .BSK
• .BSO
• .BSP
• .BST
• .BTD
• .BTF
• .BTIF
• .BTOA
• .BTX
• .BURN
• .BVD
• .BWD
• .BWF
• .BWP
• .BXX
• .BZ
• .BZAB
• .C
• .CAB
• .CADOC
• .CAE
• .CAG
• .CAL
• .CALC
• .CAM
• .CAMP
• .CAMR
• .CAP
• .CAPT
• .CAR
• .CARO
• .CAS
• .CAT
• .CATP
• .CAWR
• .CBF
• .CBOR
• .CBR
• .CBU
• .CBZ
• .CC
• .CCC
• .CCD
• .CCF
• .CCH
• .CD
• .CD
• .CDC
• .CDD
• .CDDZ
• .CDF
• .CDI
• .CDK
• .CDL
• .CDM
• .CDML
• .CDMM
• .CDMZ
• .CDPZ
• .CDR
• .CDRW
• .CDS
• .CDT
• .CDTX
• .CDX
• .CDXM
• .CE
• .CEF
• .CER
• .CERT
• .CF
• .CFD
• .CFG
• .CFP
• .CFR
• .CGF
• .CGFI
• .CGI
• .CGM
• .CGN
• .CGP
• .CH
• .CHG
• .CHI
• .CHK
• .CHM
• .CHML
• .CHMP
• .CHP
• .CHPS
• .CHT
• .CHTM
• .CIB
• .CIDA
• .CIF
• .CIPO
• .CIV
• .CIVB
• .CLA
• .CLAM
• .CLAR
• .CLAS
• .CLB
• .CLD
• .CLK
• .CLKD
• .CLKT
• .CLP
• .CLR
• .CLS
• .CLX
• .CMD
• .CMF
• .CML
• .CMP
• .CMS
• .CMT
• .CMU
• .CMX
• .CNF
• .CNG
• .CNT
• .CNTK
• .CNV
• .COA
• .COD
• .COL
• .COMI
• .COMP
• .CON
• .CONF
• .CONT
• .CONV
• .CP
• .CPBD
• .CPC
• .CPD
• .CPDT
• .CPHD
• .CPI
• .CPIO
• .CPP
• .CPT
• .CPW
• .CPX
• .CPY
• .CR
• .CRAS
• .CRAW
• .CRB
• .CRD
• .CREO
• .CRI
• .CRJO
• .CRS
• .CRT
• .CRTR
• .CRW
• .CRWL
• .CRYP
• .CS
• .CSA
• .CSE
• .CSH
• .CSI
• .CSL
• .CSO
• .CSP
• .CSR
• .CSS
• .CST
• .CSV
• .CTBL
• .CTD
• .CTE
• .CTF
• .CTL
• .CTT
• .CTXT
• .CTY
• .CUE
• .CUR
• .CURR
• .CUS
• .CVJ
• .CVL
• .CVW
• .CW
• .CWF
• .CWK
• .CWN
• .CWR
• .CWS
• .CWWP
• .CYI
• .CYS
• .D
• .DA
• .DAC
• .DAG
• .DAL
• .DAP
• .DAS
• .DAT
• .DB
• .DBA
• .DBB
• .DBC
• .DBD
• .DBDB
• .DBF
• .DBX
• .DC
• .DCA
• .DCD
• .DCF
• .DCH
• .DCO
• .DCP
• .DCR
• .DCS
• .DCT
• .DCU
• .DDC
• .DDCX
• .DDD
• .DDIF
• .DDOC
• .DDRW
• .DDS
• .DEB
• .DEBI
• .DEC
• .DED
• .DEFA
• .DEFX
• .DEL
• .DEM
• .DER
• .DES
• .DESC
• .DESI
• .DESK
• .DET
• .DEU
• .DEV
• .DEX
• .DF
• .DFE
• .DFL
• .DFM
• .DFT
• .DFTI
• .DGC
• .DGM
• .DGPD
• .DGR
• .DGRH
• .DGS
• .DHE
• .DIC
• .DID
• .DIF
• .DII
• .JIF
• .JIFF
• .JNG
• .JNT
• .JOE
• .JP
• .JPC
• .JPE
• .JPEG
• .JPF
• .JPG
• .JPGX
• .JPIVA
• .JPM
• .JPW
• .JRF
• .JRL
• .JRPR
• .JS
• .JSD
• .JSON
• .JSP
• .JSPA
• .JSPX
• .JTD
• .JTDC
• .JTT
• .JTV
• .JTX
• .JUST
• .JW
• .JWL
• .JWW
• .K
• .KBD
• .RTX
• .RUM
• .RUN
• .RV
• .RVF
• .RVT
• .RW
• .RWL
• .RWLI
• .RWZ
• .RXDO
• .RZ
• .RZK
• .RZX
• .S
• .S
• .SAD
• .SAF
• .SAFE
• .SAJ
• .SAM
• .SAS
• .SAV
• .SAVE
• .SAY
• .SB
• .SBA
• .SBC
• .SBD
• .SBF
• .SBN
• .SBO
• .SC
• .SCD
• .SCDO
• .SCE
• .SCH
• .SCM
• .SCMT
• .SCN
• .SCR
• .SCRI
• .SCRI
• .SCS
• .SCT
• .SCW
• .SCX
• .SD
• .SDA
• .SDB
• .SDC
• .SDD
• .SDDR
• .SDF
• .SDI
• .SDL
• .SDMD
• .SDN
• .SDO
• .SDOC
• .SDP
• .SDR
• .SDS
• .SDT
• .SDV
• .SDW
• .SDY
• .SEAM
• .SEAR
• .SECU
• .SEF
• .SEL
• .SEN
• .SEQ
• .SEQU
• .SERV
• .SES
• .SET
• .SETU
• .SEV
• .SFF
• .SFS
• .SFX
• .SGF
• .SGI
• .SGL
• .SGM
• .SGML
• .SGZ
• .SHAR
• .SHB
• .SHLB
• .SHOW
• .SHR
• .SHS
• .SHTM
• .SHW
• .SHY
• .SIC
• .SID
• .SIE
• .SIK
• .SIS
• .SKG
• .SKY
• .SLA
• .SLDM
• .SLDX
• .SLF
• .SLK
• .SLM
• .SLP
• .SLT
• .SLZ
• .SM
• .SMD
• .SME
• .SMF
• .SMH
• .SMLX
• .SMN
• .SMP
• .SMS
• .SMWT
• .SMX
• .SMZ
• .SNB
• .SNF
• .SNG
• .SNK
• .SNP
• .SNT
• .SNX
• .SO
• .SOI
• .SP
• .SPB
• .SPD
• .SPDF
• .SPF
• .SPI
• .SPK
• .SPL
• .SPPT
• .SQL
• .SQX
• .SR
• .SRC
• .SRF
• .SRFL
• .SRS
• .SRT
• .SRW
• .SSA
• .SSG
• .SSH
• .SSI
• .SSIW
• .SSM
• .ST
• .STC
• .STD
• .STI
• .STM
• .STP
• .STPZ
• .STR
• .STRU
• .STT
• .STW
• .STY
• .SUD
• .SUF
• .SUM
• .SURF
• .SVD
• .SVDL
• .SVG
• .SVI
• .SVM
• .SVN
• .SVP
• .SVR
• .SVS
• .SWD
• .SWDO
• .SWEB
• .SWF
• .SWIT
• .SWP
• .SXC
• .SXD
• .SXE
• .SXG
• .SXI
• .SXL
• .SXM
• .SXML
• .SXW
• .SYN
• .SYNC
• .TA
• .TAB
• .TAH
• .TAR
• .TAX
• .TB
• .TBB
• .TBD
• .TBI
• .TBK
• .TBKX
• .TBZ
• .TCD
• .TCH
• .TCK
• .TCX
• .TDG
• .TDL
• .TDR
• .TEMP
• .TEXT
• .TEXT
• .TFD
• .TFM
• .TFR
• .TFRD
• .TFX
• .TG
• .TGA
• .TGZ
• .THM
• .THML
• .THMX
• .THR
• .TIB
• .TIBS
• .DBFV
• .DBK
• .DBR
• .DBS
• .DIM
• .DIME
• .DIP
• .DIR
• .DIRE
• .DISC
• .DISK
• .DIT
• .DIVX
• .DJV
• .DJVU
• .DK
• .DLC
• .DLG
• .DMAC
• .DMBK
• .DMG
• .DMP
• .DMTE
• .DMV
• .DNA
• .DNG
• .DNL
• .DOB
• .DOC
• .DOCB
• .DOCM
• .DOCX
• .DOK
• .DOT
• .DOTH
• .DOTM
• .DOTX
• .DOTX
• .DOX
• .DOXY
• .DOZ
• .DP
• .DPD
• .DPI
• .DPK
• .DPL
• .DPR
• .DR
• .DRD
• .DREA
• .DRF
• .DRM
• .DRMX
• .DRMZ
• .DRW
• .DS
• .DSB
• .DSC
• .DSD
• .DSDI
• .DSF
• .DSG
• .DSK
• .DSL
• .DSN
• .DSP
• .DSY
• .DTAU
• .DTD
• .DTL
• .DTM
• .DTML
• .DTP
• .DTX
• .DUMP
• .DVB
• .DVD
• .DVI
• .DVR
• .DVS
• .DVX
• .DVZ
• .DWD
• .DWDO
• .DWF
• .DWFX
• .DWG
• .DWLI
• .DWP
• .DWT
• .DXB
• .DXD
• .DXE
• .DXF
• .DXG
• .DXI
• .DXM
• .DXN
• .DXR
• .DXST
• .DZP
• .E
• .EASM
• .EBC
• .EBD
• .EBI
• .EBK
• .EBQ
• .EBS
• .EC
• .EC
• .ECC
• .ECR
• .EDB
• .EDD
• .EDF
• .EDL
• .EDML
• .EDN
• .EDOC
• .EDRW
• .EDT
• .EDZ
• .EFA
• .EFAX
• .EFF
• .EFL
• .EFM
• .TIF
• .TIFF
• .TJP
• .TK
• .TKR
• .TLB
• .TLD
• .TLG
• .TLT
• .TLX
• .TLZ
• .TM
• .TMB
• .TMD
• .TML
• .TMLA
• .TMP
• .TMV
• .TMZ
• .TNS
• .TOAST
• .TOC
• .TOM
• .TOPX
• .TOR
• .TORR
• .TOTA
• .TP
• .TPL
• .TPO
• .TPSD
• .TPU
• .TPX
• .TRAS
• .TRIF
• .TRM
• .TRN
• .TRP
• .TS
• .TTF
• .TUR
• .TUT
• .TVD
• .TWDI
• .TWDX
• .TXD
• .TXE
• .TXF
• .TXM
• .TXN
• .TXT
• .TXT
• .TXTR
• .U
• .UAX
• .UBZ
• .UCD
• .UDB
• .UDF
• .UDL
• .UEA
• .UHTM
• .UKR
• .ULF
• .ULI
• .ULYS
• .UMP
• .UMV
• .UMX
• .UNIT
• .UNR
• .UNX
• .UOF
• .UOP
• .UOS
• .UOT
• .UPDF
• .UPK
• .UPOI
• .UPP
• .URD
• .URF
• .URL
• .URP
• .USA
• .USX
• .UTC
• .UTD
• .UTE
• .UTF
• .UTI
• .UTM
• .UTS
• .UTUT
• .UTX
• .UU
• .UUD
• .UUE
• .UVX
• .UXX
• .V
• .VAL
• .VAUL
• .VBAD
• .VBD
• .VBK
• .VBOX
• .VBRB
• .VBS
• .VC
• .VCAL
• .VCD
• .VCE
• .VCF
• .VDF
• .VDI
• .VDO
• .VDOC
• .VDT
• .VER
• .VF
• .VFS
• .VHDX
• .VIEW
• .VIZ
• .VLC
• .VLT
• .VMB
• .VMBX
• .VMF
• .VMG
• .VMM
• .VMT
• .VMX
• .VMXF
• .VND
• .VOB
• .VOPR
• .VPK
• .VPL
• .VPP
• .VPVOR
• .VS
• .VSD
• .VSDX
• .VSF
• .VSI
• .VSPO
• .VST
• .VSTX
• .VTF
• .VTHO
• .VTV
• .VTX
• .VYP
• .VYR
• .WAB
• .WAC
• .WAD
• .WAFF
• .WALL
• .WAR
• .WAV
• .WAVE
• .WAW
• .WB
• .WBCA
• .WBK
• .WBT
• .WBXM
• .WBZ
• .WCF
• .WCL
• .WCN
• .WCP
• .WDBN
• .WDGT
• .WDL
• .WDN
• .WDOC
• .WDX
• .WEB
• .WEBD
• .WEBP
• .WEP
• .WFLX
• .WHT
• .WI
• .WIZ
• .WK
• .WKB
• .WKI
• .WKL
• .WKS
• .WLB
• .WLD
• .WLL
• .WLS
• .WLXM
• .WM
• .WMA
• .WMD
• .WPF
• .WPG
• .WPK
• .WPL
• .WPOS
• .WPS
• .WPT
• .WPW
• .WR
• .WRF
• .WRI
• .WRLK
• .WSD
• .WSF
• .WSH
• .WSP
• .WTBN
• .WTD
• .WTF
• .WTMP
• .WTP
• .WTS
• .WTT
• .WTV
• .WTX
• .WVW
• .WVX
• .WWCX
• .WWI
• .WWL
• .WWS
• .WWT
• .WXMX
• .WXP
• .WYN
• .WZN
• .WZS
• .X
• .XAA
• .XAMLX
• .XAR
• .XAV
• .XBD
• .XBRL
• .XCF
• .XCI
• .XDA
• .XDC
• .XDF
• .XDI
• .XDO
• .XDOC
• .XDW
• .XEQ
• .XF
• .XFD
• .XFDF
• .XFI
• .XFL
• .XFN
• .XFO
• .XFP
• .XFX
• .XGML
• .XHT
• .XHTM
• .XIF
• .XIG
• .XIS
• .XJF
• .XL
• .XLA
• .XLAM
• .XLB
• .XLC
• .XLE
• .XLF
• .XLIN
• .XLIS
• .XLK
• .XLL
• .XLM
• .XLNK
• .XLR
• .XLSE
• .XLSH
• .XLSL
• .XLST
• .XLSX
• .XLTH
• .XLV
• .XLW
• .XLWX
• .XMA
• .XMDF
• .XML
• .XMMA
• .XMN
• .XMP
• .XMS
• .XMT
• .XMTA
• .XPD
• .XPI
• .XPM
• .XPS
• .XPSE
• .XPT
• .XPWE
• .XQM
• .XQR
• .XQX
• .XRDM
• .XSC
• .XSD
• .XSIG
• .XSL
• .XSLT
• .XTBL
• .XTD
• .XTG
• .XTML
• .XTPS
• .XVG
• .XVID
• .XVL
• .XVX
• .XVXV
• .XWEB
• .XWF
• .XWP
• .XXE
• .XY
• .XYD
• .YAB
• .YCBC
• .YENC
• .YML
• .YNC
• .YPS
• .YUV
• .Z
• .ZAP
• .ZDB
• .ZIP
• .ZIPX
• .ZIX
• .ZKA
• .ZOO
• .ZPS
• .EFR
• .EFS
• .EFSL
• .EFTX
• .EFU
• .EFX
• .EGR
• .EGT
• .EHP
• .EIF
• .EIP
• .EKM
• .EL
• .ELD
• .ELF
• .ELFO
• .ELN
• .EMAI
• .EMC
• .EMD
• .EMF
• .EML
• .EMLX
• .EMM
• .EMP
• .ENC
• .ENCI
• .ENCR
• .ENFP
• .ENS
• .ENT
• .ENX
• .ENYD
• .EOB
• .EOT
• .EP
• .EPA
• .EPB
• .EPDF
• .EPF
• .EPK
• .EPRT
• .EPS
• .EPSF
• .EPT
• .EPUB
• .EQB
• .EQL
• .ERBS
• .ERD
• .ERE
• .ERF
• .ERR
• .ERT
• .ESC
• .ESD
• .ESES
• .ESF
• .ESK
• .ESM
• .ESP
• .ESS
• .ESV
• .ET
• .ETE
• .ETNG
• .ETNT
• .ETQ
• .ETX
• .EUC
• .EVO
• .EVY
• .EWL
• .EX
• .EXC
• .EXD
• .EXF
• .EXIF
• .EXP
• .EXPR
• .EXX
• .EYE
• .EZ
• .EZC
• .EZM
• .EZS
• .EZZ
• .F
• .FAC
• .FADE
• .FAE
• .FAQ
• .FAX
• .FBD
• .FBP
• .FBS
• .FCA
• .FCD
• .FCF
• .FCPA
• .FCPR
• .FCR
• .FCST
• .FD
• .FDB
• .FDF
• .FDOC
• .FDR
• .FDS
• .FDSE
• .FDW
• .FDX
• .FED
• .FEED
• .FEF
• .FF.
• .FFA
• .FFD
• .FFDA
• .FFF
• .FFL
• .FFO
• .FFT
• .FFX
• .FH
• .FHD
• .FIG
• .FIM
• .FIN
• .FJP
• .FL
• .FLA
• .FLAC
• .FLAG
• .FLAT
• .FLF
• .FLIB
• .FLKA
• .FLKB
• .FLM
• .FLP
• .FLS
• .FLT
• .FLTR
• .FLV
• .FLVV
• .FLX
• .FLY
• .FM
• .FMC
• .FMD
• .FMF
• .FML
• .FMP
• .FMV
• .FNF
• .FO
• .FODG
• .FODP
• .FODS
• .FODT
• .FOLI
• .FON
• .FOP
• .FOR
• .FORG
• .FOS
• .FOUN
• .FP
• .FPAG
• .FPDO
• .FPEN
• .FPHO
• .FPK
• .FPLI
• .FPP
• .FPT
• .FPX
• .FR
• .FRA
• .FRAG
• .FRDA
• .FRDO
• .FREE
• .FREL
• .FRM
• .FS
• .FSC
• .FSD
• .FSF
• .FSH
• .FSP
• .FSS
• .FT
• .FTIL
• .FTR
• .FUL
• .FWK
• .FWTE
• .FX
• .FXD
• .FXG
• .FXO
• .FXR
• .FXW
• .FYC
• .FZH
• .G
• .GA
• .GAFZIP
• .GAM
• .GAN
• .GBM
• .GBP
• .GCSX
• .GCT
• .GDB
• .GDC
• .GDOC
• .GED
• .GEM
• .GEV
• .GEVL
• .GFE
• .GFI
• .GFOR
• .GFX
• .GGB
• .GHE
• .GHO
• .GIF
• .GIL
• .GIW
• .GLIN
• .GLK
• .GLO
• .GLOS
• .GLY
• .GML
• .GMP
• .GNC
• .GND
• .GNO
• .GOFI
• .GP
• .GPC
• .GPD
• .GPF
• .GPG
• .GPN
• .GPX
• .GPZ
• .GRA
• .GRAD
• .GRAY
• .GREY
• .GRF
• .GRK
• .GRLE
• .GROU
• .GRY
• .GS
• .GSA
• .GSB
• .GSF
• .GSHE
• .GSLI
• .GSM
• .GTHR
• .GTO
• .GUI
• .GUL
• .GVI
• .GXK
• .GXL
• .GZIG
• .GZIP
• .H
• .HAML
• .HBK
• .HBL
• .HBX
• .HCL
• .HCW
• .HDA
• .HDD
• .HDL
• .HDT
• .HDX
• .HED
• .HELP
• .HEX
• .HFD
• .HFT
• .HHS
• .HIF
• .HKDB
• .HKX
• .HLF
• .HLP
• .HLX
• .HLZ
• .HM
• .HMSK
• .HND
• .HOI
• .HOT
• .HP
• .HPD
• .HPJ
• .HPLG
• .HPO
• .HPP
• .HPS
• .HPT
• .HPW
• .HQX
• .HRX
• .HS
• .HSM
• .HSR
• .HSX
• .HTM
• .HTML
• .HTMS
• .HTPA
• .HTS
• .HTZ
• .HVPL
• .HW
• .HWP
• .HWPM
• .HWT
• .HXE
• .HXI
• .HXQ
• .HXR
• .HXS
• .HYP
• .HYPE
• .I
• .IAB
• .IAF
• .IAL
• .IBAN
• .IBCD
• .IBD
• .IBK
• .IBZ
• .ICAL
• .ICAL
• .ICC
• .ICML
• .ICMT
• .ICO
• .ICS
• .ICST
• .ICXS
• .IDAP
• .IDC
• .IDD
• .IDL
• .IDP
• .IDX
• .IE
• .IFF
• .IFP
• .IGN
• .IGR
• .IHF
• .IHP
• .IIF
• .IIQ
• .IKS
• .ILA
• .ILDO
• .IMG
• .IMP
• .IMR
• .INCP
• .IND
• .INDB
• .INDD
• .INDP
• .INF
• .INFO
• .INI
• .INK
• .INLD
• .INLK
• .INP
• .INPR
• .INRS
• .INSS
• .INST
• .INSX
• .INT
• .INTE
• .INTU
• .INV
• .INX
• .IOCA
• .IOF
• .IPA
• .IPE
• .IPF
• .IPG
• .IPR
• .ISH
• .ISO
• .ISPX
• .ISQL
• .ISU
• .ISZ
• .ITDB
• .ITE
• .ITL
• .ITM
• .ITMZ
• .ITP
• .ITS
• .IVT
• .IW
• .IWA
• .IWD
• .IWI
• .IWPR
• .IWTP
• .IX
• .IXV
• .JAC
• .JAR
• .JAV
• .JAVA
• .JB
• .JBC
• .JBIG
• .JC
• .JDD
• .JFIF
• .JGE
• .JGZ
• .JHD
• .JIAF
• .JIAS
• .KBF
• .KC
• .KD
• .KDB
• .KDBX
• .KDC
• .KDE
• .KDF
• .KES
• .KEY
• .KEYN
• .KF
• .KFM
• .KFP
• .KID
• .KLQ
• .KLW
• .KMO
• .KMY
• .KMZ
• .KNT
• .KOS
• .KPDX
• .KPR
• .KSD
• .KSP
• .KSS
• .KSW
• .KUIP
• .KWD
• .KWM
• .KWP
• .LACC
• .LAST
• .LAT
• .LATE
• .LAX
• .LAY
• .LAYO
• .LBF
• .LBI
• .LBL
• .LCD
• .LCF
• .LCN
• .LDB
• .LDC
• .LDF
• .LDI
• .LDIF
• .LDR
• .LET
• .LFE
• .LGB
• .LGP
• .LHD
• .LHR
• .LIB
• .LIC
• .LID
• .LIN
• .LIT
• .LITE
• .LL
• .LLD
• .LLV
• .LMD
• .LMR
• .LNGT
• .LNK
• .LOCA
• .LOG
• .LOGO
• .LOK
• .LOT
• .LP
• .LPA
• .LPC
• .LPD
• .LPDF
• .LPLP
• .LPX
• .LRF
• .LS
• .LST
• .LTCX
• .LTM
• .LTR
• .LTX
• .LUA
• .LVD
• .LVIV
• .LVL
• .LVW
• .LWD
• .LWO
• .LWP
• .LYX
• .LZGZ
• .M
• .MA
• .MAB
• .MAC
• .MACAM
• .MAG
• .MAKE
• .MAN
• .MANU
• .MAP
• .MAPI
• .MAR
• .MARC
• .MARK
• .MARS
• .MASS
• .MAX
• .MAXF
• .MAXM
• .MBBK
• .MBOX
• .MBSB
• .MBX
• .MC
• .MC
• .MCD
• .MCDX
• .MCF
• .MCGA
• .MCRP
• .MCW
• .MD
• .MDA
• .MDB
• .MDBA
• .MDBH
• .MDC
• .MDCC
• .MDDA
• .MDF
• .MDG
• .MDI
• .MDK
• .MDL
• .MDN
• .MDS
• .ME
• .MECO
• .MED
• .MEF
• .MEH
• .MELL
• .MELL
• .MEM
• .MENU
• .MEO
• .MET
• .META
• .MF
• .MFA
• .MFL
• .MFP
• .MFW
• .MGA
• .MGMT
• .MGOU
• .MHP
• .MHT
• .MI
• .MIC
• .MID
• .MIF
• .MIM
• .MIME
• .MIND
• .MIP
• .MISS
• .MIX
• .MJD
• .MJDO
• .MKE
• .MKV
• .ML
• .ML
• .MLA
• .MLB
• .MLC
• .MLJ
• .MLM
• .MLS
• .MLSX
• .MLX
• .MMAP
• .MMB
• .MMC
• .MMD
• .MME
• .MMHTE
• .MMJS
• .MML
• .MMO
• .MN
• .MNE
• .MNP
• .MNY
• .MOBI
• .MOD
• .MOM
• .MONE
• .MONE
• .MOS
• .MOV
• .MOVI
• .MOZ
• .MOZE
• .MP
• .MPA
• .MPE
• .MPEG
• .MPF
• .MPG
• .MPH
• .MPJ
• .MPQ
• .MPQG
• .MPR
• .MPT
• .MPV
• .MQL
• .MRD
• .MRIM
• .MRQ
• .MRU
• .MRW
• .MRWR
• .MS
• .MS
• .MSB
• .MSD
• .MSE
• .MSF
• .MSG
• .MSHC
• .MSI
• .MSIE
• .MSL
• .MSO
• .MSOR
• .MSP
• .MSQ
• .MST
• .MSW
• .MSW
• .MSWD
• .MTDD
• .MTML
• .MTO
• .MTP
• .MTS
• .MTX
• .MUG
• .MUI
• .MVD
• .MVDX
• .MVEX
• .MWD
• .MWI
• .MWII
• .MWPD
• .MWPP
• .MWS
• .MX
• .MXD
• .MXG
• .MXP
• .MYD
• .MYDO
• .MYE
• .MYI
• .MYOX
• .MZ
• .N
• .NAP
• .NARRN
• .NAV
• .NAVM
• .NB
• .NBAK
• .NBF
• .NBP
• .NCD
• .NCF
• .NDD
• .NDF
• .NDL
• .NDR
• .NDS
• .NEF
• .NENE
• .NFO
• .NFS
• .NG
• .NJX
• .NK
• .NMBT
• .NMU
• .NNI
• .NOKO
• .NOP
• .NOTE
• .NOW
• .NPC
• .NPD
• .NPDF
• .NPF
• .NPP
• .NPT
• .NRBA
• .NRG
• .NRI
• .NRL
• .NRML
• .NRW
• .NS
• .NSD
• .NSF
• .NSG
• .NSH
• .NST
• .NTF
• .NTL
• .NTP
• .NTS
• .NUMB
• .NV
• .NV
• .NVD
• .NVDL
• .NVRA
• .NXL
• .NYF
• .OAB
• .OAD
• .OAOA
• .OAS
• .OBD
• .OBI
• .OBJ
• .OBK
• .OBR
• .OBT
• .OBX
• .OBZ
• .OCDC
• .OCR
• .OCS
• .ODA
• .ODB
• .ODC
• .ODCC
• .ODF
• .ODG
• .ODH
• .ODI
• .ODIF
• .ODM
• .ODO
• .ODP
• .ODS
• .ODT
• .ODTT
• .ODZ
• .OET
• .OFC
• .OFFI
• .OFN
• .OFT
• .OFX
• .OGA
• .OGC
• .OGG
• .OIL
• .OJZ
• .OKM
• .OLD
• .OLE
• .OLF
• .OLV
• .OLY
• .OMF
• .OMLO
• .OMP
• .ONB
• .ONE
• .OOS
• .OOT
• .OPD
• .OPF
• .OPJ
• .OPLX
• .OPN
• .OPT
• .OPX
• .OPXS
• .ORF
• .ORT
• .OSD
• .OSDX
• .OST
• .OTC
• .OTF
• .OTG
• .OTH
• .OTI
• .OTN
• .OTP
• .OTS
• .OTT
• .OTW
• .OUT
• .OVD
• .OWL
• .OXPS
• .OXT
• .P
• .PAB
• .PACK
• .PAD
• .PAGE
• .PAK
• .PAQ
• .PAS
• .PAT
• .PAUX
• .PAVC
• .PBD
• .PBF
• .PBK
• .PBP
• .PBR
• .PBS
• .PBX
• .PBXS
• .PCD
• .PCF
• .PCI
• .PCJ
• .PCT
• .PCV
• .PCW
• .PCX
• .PD
• .PDB
• .PDD
• .PDF
• .PDFZ
• .PDG
• .PDP
• .PDZ
• .PE
• .PEB
• .PEF
• .PEM
• .PER
• .PEZ
• .PF
• .PFB
• .PFC
• .PFD
• .PFI
• .PFL
• .PFM
• .PFSX
• .PFT
• .PFX
• .PG
• .PGS
• .PHP
• .PHR
• .PHS
• .PIC
• .PIH
• .PKB
• .PKEY
• .PKG
• .PKH
• .PKPA
• .PKPJ
• .PL
• .PLAN
• .PLB
• .PLC
• .PLD
• .PLI
• .PLN
• .PLT
• .PLUS
• .PMA
• .PMD
• .PMT
• .PMV
• .PMX
• .PNG
• .PNS
• .PNU
• .PO
• .POD
• .POOL
• .POR
• .POT
• .POTH
• .POTM
• .POTX
• .PP
• .PPAM
• .PPD
• .PPDF
• .PPF
• .PPJ
• .PPS
• .PPSM
• .PPSX
• .PPT
• .PPTF
• .PPTM
• .PPTX
• .PPX
• .PR
• .PRC
• .PRD
• .PREF
• .PREL
• .PRF
• .PRJ
• .PRN
• .PRO
• .PRR
• .PRS
• .PRT
• .PRTC
• .PRV
• .PS
• .PSA
• .PSAF
• .PSB
• .PSD
• .PSE
• .PSF
• .PSG
• .PSI
• .PSIP
• .PSK
• .PSM
• .PSMD
• .PSP
• .PSPI
• .PSPS
• .PST
• .PSW
• .PSWX
• .PSZ
• .PTB
• .PTC
• .PTDB
• .PTF
• .PTH
• .PTK
• .PTN
• .PTPT
• .PTS
• .PTX
• .PUB
• .PUZ
• .PVC
• .PVD
• .PVE
• .PVF
• .PVHD
• .PW
• .PWD
• .PWE
• .PWF
• .PWI
• .PWM
• .PWP
• .PWRE
• .PXA
• .PXD
• .PXL
• .PXP
• .PY
• .PYS
• .PZC
• .PZF
• .PZT
• .QBA
• .QBB
• .QBI
• .QBK
• .QBL
• .QBM
• .QBMB
• .QBMDQ
• .QBO
• .QBP
• .QBQ
• .QBR
• .QBW
• .QBX
• .QBY
• .QBZ
• .QCH
• .QCOW
• .QCT
• .QDF
• .QDFX
• .QDT
• .QED
• .QEL
• .QEM
• .QFI
• .QFL
• .QFX
• .QFXX
• .QHP
• .QHT
• .QHTM
• .QIC
• .QIF
• .QIX
• .QLGE
• .QME
• .QML
• .QMT
• .QMTF
• .QNX
• .QOB
• .QPB
• .QPD
• .QPG
• .QPH
• .QPI
• .QPX
• .QRT
• .QSD
• .QSM
• .QSS
• .QST
• .QT
• .QTQ
• .QTR
• .QTW
• .QTX
• .QUIC
• .QUO
• .QUOX
• .QVW
• .QW
• .QWC
• .QWD
• .QWMO
• .QWT
• .QXB
• .QXD
• .QXF
• .QXL
• .QXP
• .QXT
• .R
• .RA
• .RAF
• .RAM
• .RAMD
• .RAP
• .RAR
• .RAT
• .RAW
• .RAZY
• .RBC
• .RCB
• .RCS
• .RDA
• .RDB
• .RDF
• .RDFS
• .RDI
• .RDO
• .RDOC
• .RDRD
• .RDY
• .REB
• .REC
• .RELS
• .RERDZ
• .RES
• .RESX
• .REV
• .RFRF
• .RFT
• .RGN
• .RGO
• .RGSS
• .RHA
• .RHIF
• .RIF
• .RIM
• .RIT
• .RLF
• .RLL
• .RMD
• .RMF
• .RMH
• .RMRM
• .RNA
• .RNG
• .RNT
• .ROFL
• .ROI
• .RORNW
• .ROS
• .ROV
• .ROW
• .ROX
• .RPF
• .RPT
• .RRD
• .RRPA
• .RRPT
• .RRT
• .RRX
• .RS
• .RSDF
• .RSDO
• .RSM
• .RSP
• .RSRC
• .RSS
• .RST
• .RT
• .RTDF
• .RTE
• .RTF
• .RTFD
• .RTK
• .RTP
• .RTPI
• .RTRSW
• .RTS
• .RTSL
• .RTSX
• .WMDB
• .WMF
• .WMGA
• .WMK
• .WML
• .WMLC
• .WMMP
• .WMO
• .WMS
• .WMV
• .WPA
• .WPC
• .WPD
• .WPE

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• thumbs.db
• desktop.ini
• ntuser.dat
• ntuser.ini
• ntuser.dat.log
• autoexec.bat
• boot.ini
• index.dat
• BOOTSECT.BAK
• system.ini
• $getcurrent
• $.Recycle.Bin
• $windows.~bt
• $windows.~ws
• All Users
• all users
• Boot
• cache2
• Content.IE5
• Cookies
• default user
• DRIVER
• DRIVERS
• DriverStore
• GAC_32
• GAC_MSIL
• Games
• GOG Games
• History.IE5
• httpcache
• intelintel
• League of Legends
• local settings
• localservice
• Microsoft
• msocache
• My Games
• networkservice
• node_modules
• nvidia
• perflogs
• Program Files (x86)
• Program Files
• recovery
• recycled
• recycler
• Sample Media
• Sample Music
• Sample Pictures
• Sample Videos
• steamapps
• System Volume Information
• System32
• Temp
• Templates
• tmp
• tor browser
• Windows.old
• windows10upgrade
• Windows
• winnt
• WinSxS
• Package Cache
• Chrome
• Bitdefender
• cache
• LocalLow

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .sage

マルウェアが作成する以下のファイルは、脅迫状です。

• %Application Data%\f1.hta
  
  
  
• {Encrypted directory}\!HELP_SOS.hta