RANSOM_COVERT
Win32/Filecoder.Coverton.A (ESET), Trojan.Ransomcrypt.AF (Symantec)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Desktop%\!!!-WARNING-!!!.html - ransom note
- %Desktop%\!!!-WARNING-!!!.txt - ransom note
- {folders containing encrypted files}\!!!-WARNING-!!!.html - ransom note
- {folders containing encrypted files}\!!!-WARNING-!!!.txt - ransom note
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\crrss.exe
- %User Profile%\userlog.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
crrss = "%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
userlog = "%User Profile%\userlog.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\crrss.exe"
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- 1cd
- dbf
- dt
- cf
- cfu
- mxl
- epf
- kdbx
- erf
- vrp
- grs
- geo
- st
- pff
- mft
- efd
- 3dm
- 3ds
- rib
- ma
- sldasm
- sldprt
- max
- blend
- lwo
- lws
- m3d
- mb
- obj
- x
- x3d
- c4d
- fbx
- dgn
- dwg
- 4db
- 4dl
- 4mp
- abs
- accdb
- accdc
- accde
- accdr
- accdt
- accdw
- accft
- adn
- a3d
- adp
- aft
- ahd
- alf
- ask
- awdb
- azz
- bdb
- bib
- bnd
- bok
- btr
- bak
- backup
- cdb
- ckp
- clkw
- cma
- crd
- daconnections
- dacpac
- dad
- dadiagrams
- daf
- daschema
- db
- db2
- db3
- dbc
- dbk
- dbs
- dbt
- dbv
- dbx
- dcb
- dct
- dcx
- ddl
- df1
- dmo
- dnc
- dp1
- dqy
- dsk
- dsn
- dta
- dtsx
- dxl
- eco
- ecx
- edb
- emd
- eql
- fcd
- fdb
- fic
- fid
- fil
- fm5
- fmp
- fmp12
- fmpsl
- fol
- fp3
- fp4
- fp5
- fp7
- fpt
- fzb
- fzv
- gdb
- gwi
- hdb
- his
- ib
- idc
- ihx
- itdb
- itw
- jtx
- kdb
- lgc
- maq
- mdb
- mdbhtml
- mdf
- mdn
- mdt
- mrg
- mud
- mwb
- s3m
- myd
- ndf
- ns2
- ns3
- ns4
- nsf
- nv2
- nyf
- oce
- odb
- oqy
- ora
- orx
- owc
- owg
- oyx
- p96
- p97
- pan
- pdb
- pdm
- phm
- pnz
- pth
- pwa
- qpx
- qry
- qvd
- rctd
- rdb
- rpd
- rsd
- sbf
- sdb
- sdf
- spq
- sqb
- stp
- sql
- sqlite
- sqlite3
- sqlitedb
- str
- tcx
- tdt
- te
- teacher
- tmd
- trm
- udb
- usr
- v12
- vdb
- vpd
- wdb
- wmdb
- xdb
- xld
- xlgc
- zdb
- zdc
- cdr
- cdr3
- ppt
- pptx
- 1st
- abw
- act
- aim
- ans
- apt
- asc
- ascii
- ase
- aty
- awp
- awt
- aww
- bad
- bbs
- bdp
- bdr
- bean
- bna
- boc
- btd
- bzabw
- chart
- chord
- cnm
- crwl
- cyi
- dca
- dgs
- diz
- dne
- doc
- docm
- docx
- docxml
- docz
- dot
- dotm
- dotx
- dsv
- dvi
- dx
- eio
- eit
- emlx
- epp
- err
- etf
- etx
- euc
- fadein
- faq
- fb2
- fbl
- fcf
- fdf
- fdr
- fds
- fdt
- fdx
- fdxt
- fes
- fft
- flr
- fodt
- fountain
- gtp
- frt
- fwdn
- fxc
- gdoc
- gio
- gpn
- gsd
- gthr
- gv
- hbk
- hht
- hs
- htc
- hwp
- hz
- idx
- iil
- ipf
- jarvis
- jis
- joe
- jp1
- jrtf
- kes
- klg
- knt
- kon
- kwd
- latex
- lbt
- lis
- lit
- lnt
- lp2
- lrc
- lst
- ltr
- ltx
- lue
- luf
- lwp
- lxfml
- lyt
- lyx
- man
- map
- mbox
- md5txt
- me
- mell
- min
- mnt
- msg
- mwp
- nfo
- njx
- notes
- now
- nwctxt
- nzb
- ocr
- odm
- odo
- odt
- ofl
- oft
- openbsd
- ort
- ott
- p7s
- pages
- pfs
- pfx
- pjt
- plantuml
- prt
- psw
- pu
- pvj
- pvm
- pwi
- pwr
- qdl
- readme
- rft
- ris
- rng
- rpt
- rst
- rt
- rtd
- rtf
- rtx
- run
- rzk
- rzn
- saf
- safetext
- sam
- scc
- scm
- scriv
- scrivx
- sct
- scw
- sdm
- sdoc
- sdw
- sgm
- sig
- skcard
- sla
- slagz
- sls
- smf
- sms
- ssa
- strings
- stw
- sty
- sub
- sxg
- sxw
- tab
- tdf
- tex
- text
- thp
- tlb
- tm
- tmv
- tmx
- tpc
- trelby
- tvj
- txt
- u3d
- u3i
- unauth
- unx
- uof
- uot
- upd
- utf8
- unity
- utxt
- vct
- vnt
- vw
- wbk
- wcf
- webdoc
- wgz
- wn
- wp
- wp4
- wp5
- wp6
- wp7
- wpa
- wpd
- wpl
- wps
- wpt
- wpw
- wri
- wsc
- wsd
- wsh
- wtx
- xbdoc
- xbplate
- xdl
- xlf
- xps
- xwp
- xy3
- xyp
- xyw
- ybk
- yml
- zabw
- zw
- 2bp
- 3fr
- 73i
- 8xi
- 9png
- abm
- afx
- agif
- agp
- aic
- albm
- apd
- apm
- apng
- aps
- apx
- art
- artwork
- arw
- asw
- avatar
- bay
- blkrt
- bm2
- bmp
- bmx
- bmz
- brk
- brn
- brt
- bss
- bti
- c4
- cal
- cals
- can
- cd5
- cdc
- cdg
- cimg
- cin
- cit
- colz
- cpc
- cpd
- cpg
- cps
- cpx
- cr2
- ct
- dc2
- dcr
- dds
- dgt
- dib
- dicom
- djv
- djvu
- dm3
- dmi
- vue
- dpx
- wire
- drz
- dt2
- dtw
- dvl
- ecw
- eip
- exr
- fal
- fax
- fpos
- fpx
- g3
- gcdp
- gfb
- gfie
- ggr
- gif
- gih
- gim
- gmbck
- gmspr
- spr
- scad
- gpd
- gro
- grob
- hdp
- hdr
- hpi
- i3d
- icn
- icon
- icpr
- iiq
- info
- int
- ipx
- itc2
- iwi
- j
- j2c
- j2k
- jas
- jb2
- jbig
- jbig2
- jbmp
- jbr
- jfif
- jia
- jng
- jp2
- jpe
- jpeg
- jpg
- jpg2
- jps
- jpx
- jtf
- jwl
- jxr
- kdc
- kdi
- kdk
- kic
- kpg
- lbm
- ljp
- mac
- mbm
- mef
- mnr
- mos
- mpf
- mpo
- mrxs
- myl
- ncr
- nct
- nlm
- nrw
- oc3
- oc4
- oc5
- oci
- omf
- oplc
- af2
- af3
- ai
- asy
- cdmm
- cdmt
- cdmtz
- cdmz
- cdt
- cgm
- cmx
- cnv
- csy
- cv5
- cvg
- cvi
- cvs
- cvx
- cwt
- cxf
- dcs
- ded
- design
- dhs
- dpp
- drw
- dxb
- dxf
- egc
- emf
- ep
- eps
- epsf
- fh10
- fh11
- fh3
- fh4
- fh5
- fh6
- fh7
- fh8
- fif
- fig
- fmv
- ft10
- ft11
- ft7
- ft8
- ft9
- ftn
- fxg
- gdraw
- gem
- glox
- hpg
- hpgl
- hpl
- idea
- igt
- igx
- imd
- ink
- lmk
- mgcb
- mgmf
- mgmt
- mt9
- mgmx
- mgtx
- mmat
- mat
- otg
- ovp
- ovr
- pcs
- pfd
- pfv
- pl
- plt
- pm
- vrml
- pmg
- pobj
- ps
- psid
- rdl
- scv
- sk1
- sk2
- slddrt
- snagitstamps
- snagstyles
- ssk
- stn
- svf
- svg
- svgz
- sxd
- tlc
- tne
- ufr
- vbr
- vec
- vml
- vsd
- vsdm
- vsdx
- vstm
- stm
- vstx
- wmf
- wpg
- vsm
- vault
- xar
- xmind
- xmmap
- yal
- orf
- ota
- oti
- ozb
- ozj
- ozt
- pal
- pano
- pap
- pbm
- pc1
- pc2
- pc3
- pcd
- pcx
- pdd
- pdn
- pe4
- pef
- pfi
- pgf
- pgm
- pi1
- pi2
- pi3
- pic
- pict
- pix
- pjpeg
- pjpg
- png
- pni
- pnm
- pntg
- pop
- pp4
- pp5
- ppm
- prw
- psd
- psdx
- pse
- psp
- pspbrush
- ptg
- ptx
- pvr
- px
- pxr
- pz3
- pza
- pzp
- pzs
- z3d
- qmg
- ras
- rcu
- rgb
- rgf
- ric
- riff
- rix
- rle
- rli
- rpf
- rri
- rs
- rsb
- rsr
- rw2
- rwl
- s2mv
- sai
- sci
- sep
- sfc
- sfera
- sfw
- skm
- sld
- sob
- spa
- spe
- sph
- spj
- spp
- sr2
- srw
- ste
- sumo
- sva
- save
- ssfn
- t2b
- tb0
- tbn
- tfc
- tg4
- thm
- thumb
- tif
- tiff
- tjp
- tm2
- tn
- tpi
- ufo
- uga
- vda
- vff
- vpe
- vst
- wb1
- wbc
- wbd
- wbm
- wbmp
- wbz
- wdp
- webp
- wpb
- wpe
- wvl
- x3f
- y
- ysp
- zif
- cdr4
- cdr6
- cdrw
- ddoc
- css
- pptm
- raw
- cpt
- tga
- xpm
- ani
- flc
- fb3
- fli
- mng
- smil
- mobi
- swf
- html
- xls
- xlsx
- csv
- xlsm
- ods
- xhtml
- maf
- asp
- aspx
- php
- mhtml
- wlmp
- 7z
- 7z001
- 7z002
- a00
- a01
- a02
- ace
- agg
- ain
- alz
- apz
- ar
- arc
- arh
- ari
- arj
- ark
- axx
- b1
- b64
- ba
- bh
- bhx
- bndl
- boo
- bz
- bz2
- bza
- bzip
- bzip2
- c00
- c01
- c02
- c10
- car
- cb7
- cba
- cbr
- cbz
- cdz
- cp9
- czip
- dd
- deb
- dgc
- dist
- dz
- ecs
- efw
- epi
- f
- fdp
- fp8
- gca
- gmz
- gz
- gz2
- gza
- gzi
- gzip
- ha
- hbc
- hbc2
- hbe
- hki
- hki1
- hki2
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- !!!-WARNING-!!!.html
- !!!-WARNING-!!!.txt
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- crrss = "%System%\crrss.exe"
- crrss = "%System%\crrss.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- userlog = "%User Profile%\userlog.exe"
- userlog = "%User Profile%\userlog.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\crrss.exe"
- Userinit = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\crrss.exe"
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_COVERT」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください