Ransom.Win32.SPACECOLON.THKAGBC
Trojan-Ransom.Spacecolon (IKARUS)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
特定のファイル拡張子を持つファイルを暗号化します。 身代金要求文書のファイルを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {Malware File Path}\SelfDelete.bat → used to delete itself
マルウェアは、以下のプロセスを追加します。
- powershell.exe -inputformat none -outputformat none -Noninteractive -Command Add-MpPreference -ExclusionPath"{Malware File Path}"
- cmd.exe /c "{Malware File Path}\SelfDelete.bat"
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- appinfo
- audioendpointbuilder
- audiosrv
- bthavctpsvc
- camsvc
- dispbrokerdesktopsvc
- dusmsvc
- installservice
- licensemanager
- rasman
- rmsvc
- securityhealthservice
- semgrsvc
- sgrmbroker
- sstpsvc
- storsvc
- sysmain
- tabletinputservice
- tokenbroker
- vaultsvc
- wbiosrvc
- deviceassociationservice
- wdiservicehost
- wdnissvc
- wscsvc
- wsearch
- cbdhsvc
- onesyncsvc
- pimindexmaintenancesvc
- cisssesrv
- unistoresvc
- helpsvc
- userdatasvc
- wpnuserservice
- ntlmssp
- ajrouter
- alg
- msciscsi
- bdesvc
- bits
- sysmgmthp
- deviceinstall
- dcpsvc
- cprqrcmc
- comsysapp
- efs
- cpqvcagent
- httpfilter
- simptcp
- ias
- dmserver
- ersvc
- wins
- wcncsvc
- appmgmt
- dosvc
- displayenhancementservice
- dtsapo4service
- vmauthdservice
- bluetoothuserservice
- hidserv
- vmware-converter-agent
- wlansvc
- protectedstorage
- wzcsvc
- clussvc
- aelookupsvc
- ntmssvc
- sysdown
- apphostsvc
- ccmexec
- cfvspm
- tapisrv
- fdphost
- ftpsvc
- iisadmin
- intel(r) proset monitoring service
- klnagent
- msmframework
- winfsp.launcher
- netlogon
- netman
- nfsclnt
- vmusbarbservice
- nfsservice
- remoteregistry
- sdd_service
- seclogon
- trustedinstaller
- uxsms
- w3svc
- was
- zabbix agent
- adws
- browser
- dfs
- dfsr
- dns
- gisvc
- ismserv
- kdc
- ntds
- vds
- vflragentd
- vgauthservice
- vm3dservice
- vmtools
- avpsus.kes
- Appreadiness
- Appxsvc
- Bfe
- Brokerinsfrastructure
- cdpsvc
- Certpropsvc
- Clipsvc
- Coremessagingregistrar
- cryptsvc
- Dcomlaunch
- Dhcp
- Diagtrack
- Dnscache
- N la
- Dps
- Dssvc
- Eventlog
- eventsystem
- Fa_scheduler
- Fontcache
- Gpsvc
- Ikeext
- Iphlpsvc
- Keyiso
- Lanmanserver
- Lanmanworkstation
- Lfsvc
- Lmhosts
- Lsm
- Mpssvc
- Msdtc
- Ncbservice
- Netprofm
- Clicktorunsvc
- Netsetupsvc
- N lasvc
- Nsi
- Pcasvc
- Plugplay
- Policyagent
- Power
- Profsvc
- Rpceptmapper
- Rpcss
- Samss
- Scdeviceenum
- Schedule
- Sens
- Sessionenv
- Shellhwdetection
- Spooler
- Ssdpsrv
- Staterepository
- Swprv
- Systemeventsbroker
- Termservice
- Themes
- Tiledatamodelsvc
- Timebrokersvc
- Trkwks
- Valsvc
- Vmrdpservice
- usermanager
- usosvc
- vmicheartbeat
- vmickvpexchange
- vmicrdv
- vmicshutdown
- vmictimesync
- vmicvss
- vss
- w32time
- wcmsvc
- wdisystemhost
- windefend
- winhttpautoproxysvc
- winmgmt
- winrm
- wlidsvc
- wlms
- wpnservice
- wuauserv
- wudfsvc
- cdpusersvc
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- vserver.exe
- vmwaretray.exe
- Groovemonitor.exe
- searchindexer.exe
- Sysmon.exe
- vdisk.exe
- Procmon.exe
- SysTracerx32.ee
- TcpLogView.exe
- ProcessHacker.exe
- Fiddler.exe
- everything.exe
- sublime_text.exe
- plugin_host.exe
- powershell.exe
- wmpnetwk.exe
- Ollydbg.exe
- die.exe
- Taskeng.exe
- Audiodg.exe
- Searchprotocolhost.exe
- smss.exe
- csrss.exe
- wininit.exe
- winlogon.exe
- services.exe
- lsass.exe
- svchost.exe
- LogonUI.exe
- dwm.exe
- VSSVC.exe
- CompatTelRunner.exe
- spoolsv.exe
- wlms.exe
- FCDBLog.exe
- sppsvc.exe
- conhost.exe
- SppExtComObj.Exe
- rdpclip.exe
- RuntimeBroker.exe
- sihost.exe
- taskhostw.exe
- userinit.exe
- explorer.exe
- ShellExperienceHost.exe
- SearchUI.exe
- WmiPrvSE.exe
- mobsync.exe
- cmd.exe
- tasklist.exe
- fontdrvhost.exe
- LsaIso.exe
- MsMpEng.exe
- amService.exe
- blnsvr.exe
- Project1.exe
- app.exe
- msdtc.exe
- lsm.exe
- cissesrv.exe
- cqmghost.exe
- cqmgserv.exe
- cqmgstor.exe
- snmp.exe
- taskhost.exe
- vmware-usbarbitrator64.exe
- vmtoolsd.exe
- VGAuthService.exe
- ctfmon.exe
- StartMenuExperienceHost.exe
- WUDFHost.exe
- fsptool-x64.exe
- ssh.exe
- sshfs.exe
- sshfs-win.exe
- enc.exe
- Analyzer.exe
- msiexec.exe
- putty.exe
- auto.exe
- KeePass.exe
- mRemoteNG.exe
その他
マルウェアは、以下を実行します。
- Empty Recycled Bin
- Terminates itself if the following file is present:
- %ProgramData%\dont.txt
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
ランサムウェアの不正活動
以下の拡張子を持つファイルを暗号化します:$$ DATA $$
- .mdf
- .ldf
- .ndf
- .dbf
- .db
- .dbs
- .log1
- .dat
- .mdb
- .ora
- .fdb
- .wt
- .gdb
- .bak
- .backup
- .vib
- .vbk
- .vbm
- .tib
- .tibx
- .dmp
- .tuf
- .trn
- .zip
- .7z
- .rar
- .archive
- .vhd
- .vhdx
- .avhdx
- .rct
- .pst
- .sql
- .xlsx
- .xls
- .doc
- .docx
- .pstx
- .vmdk
- .vmx
- .fbk
- .ibd
- .myd
- .mdbx
- .d0
- .d1
- .d3
- .b1
- .bck
- .tiff
- .tif
- .dwg
- .dxf
- .lbl
- .db1
- .001
- .0001
- .seq
- .vix
- .bkf
- .gbk
- .ova
- .eml
- .ptb
- .saj
- .sko
- .skp
- .srd
- .nyf
- .itdb
- .dbc
- .edb
- .nsf
- .ib
- .db2
- .ai
- .ost
- .ostx
- .002
- .003
- .004
- .005
- .006
- .007
- .cbd
- .d2
- .d4
- .da1
- .da2
- .da3
- .da4
- .rpd
- .edp
- .vrb
- .vswp
- .idx
- .ebk
- .rpt
- .vct
- .vcx
- .cdx
- .hbp
- .msg
- .ldb
- .alt
- .dbw
- .qrp
- .upd
- .old
- .jet
- .ol2
- .sic
- .bco
- .hrl
- .a06
- .a01
- .a02
- .a03
- .bac
- .3dm
- .3dmbak
- .psd
- .jpg
- .mp4
- .mov
- .pptx
- .ppt
- .tmp
- .cdr
- .ard
- .usr
- .btr
- .qvx
- .008
- .hlp
- .sldrpt
- .SLDLFP
- .SLDPRT
- .SLDDRW
- .rfs
- .llp
- .slp
- .spl
- .one
- .SLDASM
- .gan
- .rpo
- .ntf
- .ndk
- .nbf
- .nx1
- .bik
- .dxt5_2d
- .cgd
- .tga
- .avi
- .pak
- ._ms
- .danger
- .tar
- .tar.gz
- .frm
- .myi
- .accdb
- .sqlite
- .sqlite3
- .redo
- .log
- .box
- .ndx
- .nsg
- .fmp12
- .fp7
- .fp5
- .couch
- .qbw
- .qbb
- .qba
- .qbm
- .sai
- .xlsm
- .indd
- .3ds
- .max
- .blend
- .qic
- .sna
- .gho
- .ghs
- .iv2i
- .pbd
- .pqb
- .afi
- .mrimg
- .spf
- .bi4
- .rbf
- .obk
- .oeb
- .rdb
- .bup
- .bkup
- .cfgbak
- .nb7
- .lst
- .cbu
- .bpf
- .ctf
- .bkp
- .fbf
- .fbw
- .ful
- .stm
- .imd
- ibdata
- .vmsd
- .vmsn
- .csv
- .elg
- .fxl
- .bln
- .mtx
- .bil
- .egl
- .xxx
- .fxl
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- NTUSER.dat
- Icudtl.dat
- NTUSER.dat.log1
- Usrclass.dat
- Usrclass.dat.log1
- Webcachev01.dat
- Thumbs.db
- Common files
- Unins00
- Windows.edb
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- {Based 64 file name}.Encrypted
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\HOW TO RECOVERY FILES.TXT
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
以下のファイルを検索し削除します。
- {Malware File Path}\SelfDelete.bat
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.SPACECOLON.THKAGBC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください