RANSOM_ARTTEC.DJB
別名:
Linux.Trojan(Norton);a variant of Linux/Filecoder.F(Eset-NOD32);ELF:Filecoder-K [Trj](Avast)
プラットフォーム:
Linux
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
ファイルサイズ 3,151,816 bytes
タイプ ELF
メモリ常駐 なし
発見日 2016年10月13日
ペイロード URLまたはIPアドレスに接続
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {encrypted file}.{original file extension}.PRM.AESKEY
他のシステム変更
マルウェアは、以下のファイルを削除します。
- .bash_history
情報漏えい
マルウェアは、以下の情報を収集します。
- etc/shadow
- etc/hosts
- .ssh/id_rsa
- .ssh/id_dsa
- .ssh/id_ecdsa
- .ssh/id_ed25519
- .ssh/known_hosts
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://www.{BLOCKED}europe.net/evl/grab/xx/get.php
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- .doc
- .xls
- .ppt
- .docx
- .xlsx
- .pptx
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .PRM.TMPFILE
マルウェアが作成する以下のファイルは、脅迫状です。
- {encrypted file}.{original file extension}.info
マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 12.876.06
初回 VSAPI パターンリリース日 2016年11月3日
VSAPI OPR パターンバージョン 12.877.00
VSAPI OPR パターンリリース日 2016年11月4日
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_ARTTEC.DJB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください