RANSOM_CRYPMIC.JN
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
■ ランサムウェアファイル復号ツール公開
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、バックドア活動の機能を備えていません。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\BBB.KEY
- %User Temp%\README.TXT - text ransom note
- %User Temp%\README.HTML - webpage ransom note
- %User Temp%\README.BMP - wallpaper/image ransom note
- %User Temp%\PPP.KEY
- {folders containing encrypted files}\README.HTML - ransom note
- {folders containing encrypted files}\README.BMP - ransom note
- {folders containing encrypted files}\README.TXT - ransom note
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
自動実行方法
マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\README.TXT - text ransom note
- %User Startup%\README.HTML - webpage ransom note
- %User Startup%\README.BMP - image ransom note
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
他のシステム変更
マルウェアは、以下のファイルを改変します。
- It encrypts files and retains original filename and extension
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_KEY\Control Panel\Desktop
Wallpaper = "%User Temp%\README.BMP"
(註:変更前の上記レジストリ値は、「"{user-defined}"」となります。)
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- https://{BLOCKED}.{BLOCKED}.225.212
- https://{BLOCKED}.{BLOCKED}.140.100
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .3DM
- .3DS
- .3G2
- .3GP
- .4DB
- .4DL
- .4MP
- .A3D
- .ABM
- .ABS
- .ABW
- .ACCDB
- .ACT
- .ADN
- .ADP
- .AES
- .AF2
- .AF3
- .AFT
- .AFX
- .AGIF
- .AGP
- .AHD
- .AIC
- .AIF
- .AIM
- .ALBM
- .ALF
- .ANI
- .ANS
- .APD
- .APK
- .APM
- .APNG
- .APP
- .APS
- .APT
- .APX
- .ARC
- .ART
- .ARW
- .ASC
- .ASE
- .ASF
- .ASK
- .ASM
- .ASP
- .ASPX
- .ASW
- .ASX
- .ASY
- .ATY
- .AVI
- .AWDB
- .AWP
- .AWT
- .AWW
- .AZZ
- .BAD
- .BAY
- .BBS
- .BDB
- .BDP
- .BDR
- .BEAN
- .BIB
- .BM2
- .BMP
- .BMX
- .BNA
- .BND
- .BOC
- .BOK
- .BRD
- .BRK
- .BRN
- .BRT
- .BSS
- .BTD
- .BTI
- .BTR
- .BZ2
- .C4D
- .CAL
- .CALS
- .CAN
- .CD5
- .CDB
- .CDC
- .CDG
- .CDMM
- .CDMT
- .CDR
- .CDR3
- .CDR4
- .CDR6
- .CDT
- .CER
- .CFG
- .CFM
- .CFU
- .CGI
- .CGM
- .CIMG
- .CIN
- .CIT
- .CKP
- .CLASS
- .CLKW
- .CMA
- .CMD
- .CMX
- .CNM
- .CNV
- .COLZ
- .CPC
- .CPD
- .CPG
- .CPP
- .CPS
- .CPT
- .CPX
- .CRD
- .CRT
- .CRWL
- .CRYPT
- .CSR
- .CSS
- .CSV
- .CSY
- .CUE
- .CV5
- .CVG
- .CVI
- .CVS
- .CVX
- .CWT
- .CXF
- .CYI
- .DAD
- .DAF
- .DB3
- .DBF
- .DBK
- .DBT
- .DBV
- .DBX
- .DCA
- .DDL
- .DDOC
- .DDS
- .DED
- .DF1
- .DGN
- .DGS
- .DHS
- .DIB
- .DIF
- .DIP
- .DIZ
- .DJV
- .DJVU
- .DM3
- .DMI
- .DMO
- .DNC
- .DNE
- .DOC
- .DOCB
- .DOCM
- .DOCX
- .DOCZ
- .DOT
- .DOTM
- .DOTX
- .DP1
- .DPP
- .DPX
- .DQY
- .DRW
- .DRZ
- .DSK
- .DSN
- .DSV
- .PSDX
- .PSE
- .PSID
- .PSP
- .PSPIMAGE
- .PSW
- .PTG
- .PTH
- .PTX
- .PVJ
- .PVM
- .PVR
- .PWA
- .PWI
- .PWR
- .PXR
- .PZ3
- .PZA
- .PZP
- .DCB
- .DCH
- .DCS
- .DCT
- .DCU
- .DCX
- .DT2
- .DTA
- .DTD
- .DTSX
- .DTW
- .DVI
- .DVL
- .DWG
- .DXB
- .DXF
- .DXL
- .ECO
- .ECW
- .ECX
- .EDB
- .EFD
- .EGC
- .EIO
- .EIP
- .EIT
- .EMD
- .EMF
- .EML
- .EMLX
- .EPF
- .EPP
- .EPS
- .EPSF
- .EQL
- .ERF
- .ERR
- .ETF
- .ETX
- .EUC
- .EXR
- .FAL
- .FAQ
- .FAX
- .FB2
- .FB3
- .FBL
- .FBX
- .FCD
- .FCF
- .FDB
- .FDF
- .FDR
- .FDS
- .FDT
- .FDX
- .FDXT
- .FES
- .FFT
- .FH10
- .FH11
- .FH3
- .FH4
- .FH5
- .FH6
- .FH7
- .FH8
- .FIC
- .FID
- .FIF
- .FIG
- .FIL
- .FLA
- .FLI
- .FLR
- .FLV
- .FM5
- .FMV
- .FODT
- .FOL
- .FP3
- .FP4
- .FP5
- .FP7
- .FPOS
- .FPT
- .FPX
- .FRM
- .FRT
- .FT10
- .FT11
- .FT7
- .FT8
- .FT9
- .FTN
- .FWDN
- .FXC
- .FXG
- .FZB
- .FZV
- .GADGET
- .GBK
- .GBR
- .GCDP
- .GDB
- .GDOC
- .GED
- .GEM
- .GEO
- .GFB
- .GGR
- .GIF
- .GIH
- .GIM
- .GIO
- .GLOX
- .GPD
- .GPG
- .GPN
- .GPX
- .GRO
- .GROB
- .GRS
- .GSD
- .GTHR
- .GTP
- .GWI
- .HBK
- .HDB
- .HDP
- .HDR
- .HHT
- .HIS
- .HPG
- .HPGL
- .HPI
- .HPL
- .HTC
- .HTM
- .HTML
- .HWP
- .I3D
- .IBD
- .IBOOKS
- .ICN
- .ICON
- .IDC
- .IDEA
- .IDX
- .IFF
- .IGT
- .IGX
- .IHX
- .IIL
- .IIQ
- .IMD
- .INDD
- .INFO
- .INI
- .INI0
- .INI4
- .INI8
- .INID
- .INIH
- .INIL
- .INIP
- .INIT
- .INIX
- .INK
- .IPF
- .IPX
- .ITDB
- .ITW
- .IWI
- .J2C
- .J2K
- .JAR
- .JAS
- .JAVA
- .JB2
- .JBMP
- .JBR
- .JFIF
- .JIA
- .JIS
- .JKS
- .JNG
- .JOE
- .JP1
- .JP2
- .JPE
- .JPEG
- .JPG
- .JPG2
- .JPS
- .JPX
- .JRTF
- .JSP
- .JTX
- .JWL
- .JXR
- .KDB
- .KDBX
- .KDC
- .KDI
- .KDK
- .KES
- .KEY
- .KIC
- .KLG
- .KML
- .KMZ
- .KNT
- .KON
- .KPG
- .KWD
- .LAY
- .LAY6
- .LBM
- .LBT
- .LDF
- .LGC
- .LIS
- .LIT
- .LJP
- .LMK
- .LNT
- .LP2
- .LRC
- .LST
- .LTR
- .LTX
- .LUA
- .LUE
- .LUF
- .LWO
- .LWP
- .LWS
- .LYT
- .LYX
- .M3D
- .M3U
- .M4A
- .M4V
- .MAC
- .MAN
- .MAP
- .MAQ
- .MAT
- .MAX
- .MBM
- .MBOX
- .MDB
- .MDF
- .MDN
- .MDT
- .MEF
- .MELL
- .MFD
- .MFT
- .MGCB
- .MGMT
- .MGMX
- .MID
- .MIN
- .MKV
- .MMAT
- .MML
- .MNG
- .MNR
- .MNT
- .MOBI
- .MOS
- .MOV
- .MP3
- .MP4
- .MPA
- .MPF
- .MPG
- .MPO
- .MRG
- .MRXS
- .MS11
- .MSG
- .MSI
- .MT9
- .MUD
- .MWB
- .MWP
- .MXL
- .MYD
- .MYI
- .MYL
- .NCR
- .NCT
- .NDF
- .NEF
- .NFO
- .NJX
- .NLM
- .NOTE
- .NOW
- .NRW
- .NS2
- .NS3
- .NS4
- .NSF
- .NV2
- .NYF
- .NZB
- .OBJ
- .OC3
- .OC4
- .OC5
- .OCE
- .OCI
- .OCR
- .ODB
- .ODG
- .ODM
- .ODO
- .ODP
- .ODS
- .ODT
- .OFL
- .OFT
- .OMF
- .OPLC
- .OQY
- .ORA
- .ORF
- .ORT
- .ORX
- .OTA
- .OTG
- .OTI
- .OTP
- .OTS
- .OTT
- .OVP
- .OVR
- .OWC
- .OWG
- .OYX
- .OZB
- .OZJ
- .OZT
- .P12
- .P7S
- .P96
- .P97
- .PAGES
- .PAL
- .PAN
- .PANO
- .PAP
- .PAQ
- .PAS
- .PBM
- .PC1
- .PC2
- .PC3
- .PCD
- .PCS
- .PCT
- .PCX
- .PDB
- .PDD
- .PDM
- .PDN
- .PDS
- .PDT
- .PE4
- .PEF
- .PEM
- .PFF
- .PFI
- .PFS
- .PFV
- .PFX
- .PGF
- .PGM
- .PHM
- .PHP
- .PI1
- .PI2
- .PI3
- .PIC
- .PICT
- .PIF
- .PIX
- .PJPG
- .PJT
- .PLT
- .PLUGIN
- .PMG
- .PNG
- .PNI
- .PNM
- .PNTG
- .PNZ
- .POP
- .POT
- .POTM
- .POTX
- .PP4
- .PP5
- .PPAM
- .PPM
- .PPS
- .PPSM
- .PPSX
- .PPT
- .PPTM
- .PPTX
- .PRF
- .PRIV
- .PRIVATE
- .PRT
- .PRW
- .PSD
- .PZS
- .QCOW2
- .QDL
- .QMG
- .QPX
- .QRY
- .QVD
- .RAD
- .RAR
- .RAS
- .RAW
- .RCTD
- .RCU
- .RDB
- .RDDS
- .RDL
- .RFT
- .RGB
- .RGF
- .RIB
- .RIC
- .RIFF
- .RIS
- .RIX
- .RLE
- .RLI
- .RNG
- .RPD
- .RPF
- .RPT
- .RRI
- .RSB
- .RSD
- .RSR
- .RSS
- .RST
- .RTD
- .RTF
- .RTX
- .RUN
- .RW2
- .RWL
- .RZK
- .RZN
- .S2MV
- .S3M
- .SAF
- .SAI
- .SAM
- .SAVE
- .SBF
- .SCAD
- .SCC
- .SCH
- .SCI
- .SCM
- .SCT
- .SCV
- .SCW
- .SDB
- .SDF
- .SDM
- .SDOC
- .SDW
- .SEP
- .SFC
- .SFW
- .SGM
- .SIG
- .SITX
- .SK1
- .SK2
- .SKM
- .SLA
- .SLD
- .SLDX
- .SLK
- .SLN
- .SLS
- .SMF
- .SMIL
- .SMS
- .SOB
- .SPA
- .SPE
- .SPH
- .SPJ
- .SPP
- .SPQ
- .SPR
- .SQB
- .SQL
- .SQLITE3
- .SQLITEDB
- .SR2
- .SRT
- .SRW
- .SSA
- .SSK
- .STC
- .STD
- .STE
- .STI
- .STM
- .STN
- .STP
- .STR
- .STW
- .STY
- .SUB
- .SUMO
- .SVA
- .SVF
- .SVG
- .SVGZ
- .SWF
- .SXC
- .SXD
- .SXG
- .SXI
- .SXM
- .SXW
- .T2B
- .TAB
- .TAR
- .TB0
- .TBK
- .TBN
- .TCX
- .TDF
- .TDT
- .TEX
- .TEXT
- .TFC
- .TG4
- .TGA
- .TGZ
- .THM
- .THP
- .TIF
- .TIFF
- .TJP
- .TLB
- .TLC
- .TM2
- .TMD
- .TMP
- .TMV
- .TMX
- .TNE
- .TPC
- .TPI
- .TRM
- .TVJ
- .TXT
- .U3D
- .U3I
- .UDB
- .UFO
- .UFR
- .UGA
- .UNX
- .UOF
- .UOP
- .UOT
- .UPD
- .USR
- .UTF8
- .UTXT
- .V12
- .VBR
- .VBS
- .VCF
- .VCT
- .VCXPROJ
- .VDA
- .VDB
- .VDI
- .VEC
- .VFF
- .VMDK
- .VML
- .VMX
- .VNT
- .VOB
- .VPD
- .VPE
- .VRML
- .VRP
- .VSD
- .VSDM
- .VSDX
- .VSM
- .VST
- .VSTX
- .VUE
- .WAV
- .WB1
- .WBC
- .WBD
- .WBK
- .WBM
- .WBMP
- .WBZ
- .WCF
- .WDB
- .WDP
- .WEBP
- .WGZ
- .WIRE
- .WKS
- .WMA
- .WMDB
- .WMF
- .WMV
- .WP4
- .WP5
- .WP6
- .WP7
- .WPA
- .WPD
- .WPE
- .WPG
- .WPL
- .WPS
- .WPT
- .WPW
- .WRI
- .WSC
- .WSD
- .WSF
- .WSH
- .WTX
- .WVL
- .X3D
- .X3F
- .XAR
- .XCODEPROJ
- .XDB
- .XDL
- .XHTM
- .XHTML
- .XLC
- .XLD
- .XLF
- .XLGC
- .XLM
- .XLR
- .XLS
- .XLSB
- .XLSM
- .XLSX
- .XLT
- .XLTM
- .XLTX
- .XLW
- .XML
- .XPM
- .XPS
- .XWP
- .XY3
- .XYP
- .XYW
- .YAL
- .YBK
- .YML
- .YSP
- .YUV
- .Z3D
- .ZABW
- .ZDB
- .ZDC
- .ZIF
- .ZIP
- .ZIPX
- .ZZ
マルウェアは、以下のファイルを作成します。
- %User Temp%\BBB.KEY
- %User Temp%\README.TXT - テキスト形式の脅迫状
- %User Temp%\README.HTML – Webページ形式の脅迫状
- %User Temp%\README.BMP – 壁紙/画像形式の脅迫状
- %User Temp%\PPP.KEY
- {folders containing encrypted files}\README.HTML – 脅迫状
- {folders containing encrypted files}\README.BMP - 脅迫状
- {folders containing encrypted files}\README.TXT - 脅迫状
マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\README.TXT – テキスト形式の脅迫状
- %User Startup%\README.HTML – Webページ形式の脅迫状
- %User Startup%\README.BMP – 画像形式の脅迫状
マルウェアは、暗号化したファイルのファイル名および拡張子を変更しません。
マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。
以下は、脅迫状”README.html”の内容です。
以下は、脅迫状”README.txt”の内容です。
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: Wallpaper = "%User Temp%\README.BMP"
To: Wallpaper = "{user-defined}"
- From: Wallpaper = "%User Temp%\README.BMP"
手順 5
以下のファイルを検索し削除します。
- %User Temp%\PPP.KEY
- %User Temp%\BBB.KEY
- README.TXT
- README.HTML
- README.BMP
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_CRYPMIC.JN」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_CRYPMIC.JN」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
■ ランサムウェアファイル復号ツール公開
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。
ご利用はいかがでしたか? アンケートにご協力ください