RANSOM_CRYPRAAS.B

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL：http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx

個人向けダウンロードURL：https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このランサムウェアは、2015年７月に登場した「サービスとしてのランサムウェア（Ransomware as a Service、RaaS）」の亜種です。「RANSOM_CRYPRAAS.B」は、Linuxのサーバおよびデスクトップ内のファイルを暗号化することで知られています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

作成活動

マルウェアは、以下のファイルを作成します。

• {Folders containing encrypted files}\readme_liesmich_encryptor_raas_{customer ID}.txt-serves as ransom note

その他

マルウェアが作成する以下のファイルは、脅迫状です。

• {Folders containing encrypted files}\readme_liesmich_encryptor_raas_{customer ID}.txt

• wallet.dat
• electrum.dat

マルウェアは、ファイル名に以下の文字列および拡張子を含むファイルを暗号化します。

• 0
• -0
• 000
• 001
• 002
• 003
• 004
• 005
• 006
• 007
• 008
• 009
• 1
• -1
• 10
• -10
• 11
• -11
• 12
• -12
• 13
• -13
• 14
• -14
• 15
• -15
• 16
• -16
• 17
• -17
• 18
• -18
• 19
• -19
• 1pa
• 2
• -2
• 2fs
• 3
• -3
• 3dm
• 3ds
• 3g2
• 3gp
• 4
• -4
• 5
• -5
• 6
• -6
• 7
• -7
• 7z
• 8
• -8
• 9
• -9
• aac
• aaf
• abbu
• abw
• accdb
• adr
• aep
• aepx
• aet
• ahk
• ai
• aif
• alt
• ape
• apk
• arc
• arv
• arw
• as
• as3
• asc
• asf
• ashdisc
• asm
• asmx
• asp
• aspx
• asx
• aup
• avi
• ba0
• backup
• bak
• bas
• bbb
• bc
• bc!
• bcmx
• bdb
• bde
• bdf
• bdg
• bdi
• bdk
• bdl
• bdm
• bdmv
• bdsproj
• bdw
• bdx
• bee
• ben
• bes
• bex
• bexpk
• bf
• bf2
• bfa
• bfb
• bfe
• bff
• bgz
• bhx
• bib
• bibtex
• bik
• bina
• bkf
• bkp
• bks
• bkup
• bmp
• boe
• bpl
• bpn
• bson
• btd
• bz2
• c
• c++
• cad
• cadp
• caf
• cal
• cbu
• cc
• cda
• cdf
• cdi
• cdr
• cdt
• cdx
• cer
• cert
• cfc
• cfg
• cfm
• cgi
• cgn
• chk
• chr
• class
• clk
• cmx
• cnt
• cod
• conf
• cpio
• cpp
• cpt
• cpx
• cr2
• crd
• crt
• crw
• crypt7
• cs
• csh
• csl
• csproj
• csr
• csv
• cue
• d64
• data
• db3
• dbf
• dbt
• dbx
• dcp
• dcr
• dds
• ddz
• del
• dem
• des
• deviceids
• df
• dfd
• dfproj
• dia
• dif
• diff
• dir
• diz
• dlc
• dmg
• doc
• docb
• docm
• docx
• dot
• dotm
• dotx
• dqy
• drw
• ds4
• dsb
• dsf
• dsn
• dta
• dtr
• dtv
• dwg
• dxf
• ebk
• eddx
• edoc
• efx
• elfo
• emf
• eml
• emlx
• enc
• eps
• epub
• es
• es~
• ex4
• exp
• ezm
• fdb
• fdf
• ff1
• ffa
• ffl
• ffo
• ffs_db
• fft
• ffu
• ffx
• fh10
• fh11
• fi2
• fig
• fil
• fim
• fla
• flac
• flg
• flp
• flv
• fmd
• fmv
• fpt
• fpx
• ftp
• fx0
• fx1
• fxr
• gam
• gar
• gbc
• gcode
• gem
• gho
• ghs
• gid
• gif
• gla
• gpg
• gpx
• gz
• h
• h++
• hbk
• hdd
• hds
• hex
• hpp
• hst
• htc
• hwp
• hwp
• ico
• ics
• idml
• idx
• if
• iff
• iif
• imb
• img
• imh
• iml
• imm
• in0
• indb
• indd
• indl
• indt
• ini2
• int
• inx
• ipd
• iso
• isz
• iwa
• j2k
• jad
• jar
• java
• jdb
• jks
• jmf
• jp2
• jpeg
• jpf
• jpg
• jpm
• jpx
• json
• jsp
• jspa
• jspx
• jst
• k1f
• kb1
• kcf
• kch
• kcl
• kdb
• kdbx
• key
• keynote
• kml
• kmz
• knt
• kpr
• lbl
• ld
• ldif
• lgb
• lib
• lic
• lis
• lpd
• ls
• ltx
• lwp
• lyc
• lyt
• lzma
• m3u
• m3u8
• m4a
• m4u
• m4v
• mab
• mac
• mail
• mailhost
• mar
• max
• mb
• mbox
• mbs
• mcs
• md2
• mdb
• mdbackup
• mddata
• mde
• mdf
• mdi
• mdinfo
• mds
• mdw
• mdx
• met
• mht
• mhtml
• mid
• mke
• mlm
• mmf
• mnu
• mobileprovision
• mod
• mon
• mov
• mozeml
• mp3
• mp4
• mpa
• mpb
• mpeg
• mpg
• mpj
• mpp
• mq4
• mqh
• mrw
• ms
• msf
• msg
• mso
• mswmm
• mta
• mts
• mus
• mx0
• myd
• myf
• myi
• nam
• nap
• nba
• nbf
• nbi
• nbu
• nbz
• nco
• nd
• nef
• nes
• net
• new
• nfo
• nick
• nng
• note
• nr
• nrg
• nri
• nru
• ns
• nws
• nzb
• oa4
• oac
• odb
• odc
• odg
• odp
• ods
• odt
• ogg
• old
• one
• onepkg
• ops
• opt
• or4
• orf
• org
• otm
• ott
• ova
• ovf
• ovpn
• oxps
• p
• p12
• p2i
• p65
• p7
• pages
• pat
• patch
• pbi
• pbx
• pcd
• pct
• pcx
• pdf
• pdfx
• pehape
• pem
• pfb
• pfq
• pfx
• pgp
• php
• php3
• php4
• php5
• phps
• phpx
• phpxx
• phtm
• phtml
• pic
• pid
• pins
• pip
• pk
• pl
• plb
• plist
• plt
• pm1
• pmd
• pmk
• pmm
• pmx
• pnf
• png
• pot
• potm
• potx
• pp4
• pp5
• ppa
• ppam
• ppdf
• ppf
• ppj
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• pref
• prn
• prproj
• prt
• ps
• ps1
• psd
• psp
• pspimage
• pst
• ptb
• ptn
• ptn2
• ptx
• pub
• pvm
• pwd
• pwi
• px
• py
• pym
• qba
• qbb
• qbi
• qbm
• qbo
• qbp
• qbquery
• qbr
• qbw
• qbx
• qby
• qcn
• qcow
• qcow2
• qpd
• qsm
• qss
• qst
• qt
• qwc
• qxp
• r0
• ra
• raf
• rar
• raw
• rb
• rdp
• recipients
• recipientsbackup0
• recipientsbackup1
• recipientsbackup2
• recipientsbackup3
• recipientsbackup4
• recipientsbackup5
• recipientsbackup6
• recipientsbackup7
• recipientsbackup8
• recipientsbackup9
• repl
• rif
• riff
• rm
• rpb
• rpmsg
• rtf
• rtp
• rw2
• s
• sam
• sav
• sb
• sbf
• schd
• sct
• scv
• sda
• sdc
• sdf
• sdi
• sds
• sdx
• sdy
• secure
• seed
• sel
• seq
• ses
• set
• sfs
• sfv
• shlb
• shs
• shw
• skb
• skd
• skp
• sldm
• sldx
• slf
• slk
• sln
• slt
• sme
• smk
• smm
• smp
• smr
• sms
• spb
• spi
• spro
• sql
• sqlite
• sqlitedb
• srp
• srt
• srv
• ssc
• ssi
• sss
• stf
• stg
• stl
• stw
• sub
• suo
• svg
• swf
• sxw
• symbolmap
• syncdb
• tag
• tar
• tav
• tb3
• tc
• tdl
• tex
• tga
• thm
• thmx
• tib
• tif
• tiff
• tlg
• tlx
• toast
• torrent
• tpl
• ts
• tv
• tvc
• txt
• ucd
• ufo
• user
• v30
• val
• vbk
• vcard
• vcd
• vcf
• vcs
• vcxproj
• vdi
• vfs4
• vhd
• vhdx
• vir
• vmc
• vmdk
• vmx
• vob
• vrge08contact
• vsd
• vsv
• wab
• wallet
• war
• wav
• wbk
• wbverify
• wc
• wdseml
• webarchive
• webm
• whtt
• wi
• wim
• win
• wk3
• wk4
• wlt
• wma
• wmb
• wmf
• wmv
• workflow
• wpb
• wpd
• wpg
• wpl
• wps
• wsb
• xcf
• xdw
• xed
• xg0
• xg1
• xg2
• xla
• xlam
• xlg
• xlk
• xll
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• xoml
• xpm
• xps
• xqx
• xsn
• xz
• yg0
• yg1
• yg2
• yuv
• z
• zip
• zipx

脅迫状の内容は、以下のとおりです。