解析者: Marvelous Pelin   
 別名:

Ransom.Oxar(Malwarebytes)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 665,600 bytes
タイプ EXE
メモリ常駐 なし
発見日 2017年7月11日
ペイロード メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\AppData\Presector - (Hidden Attribute)

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • 54GDFB54Vf45415BGD64F5V4C6554V6D5WX4151F65DS165FE1S6G4F81VER6SD5C165

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

    • *.7z
    • *.aif
    • *.apk
    • *.arj
    • *.asp
    • *.bat
    • *.bin
    • *.bin
    • *.cab
    • *.cda
    • *.cer
    • *.cfg
    • *.cfm
    • *.cpl
    • *.css
    • *.csv
    • *.cur
    • *.dat
    • *.deb
    • *.dmg
    • *.dmp
    • *.doc
    • *.docx
    • *.drv
    • *.gif
    • *.htm
    • *.html
    • *.icns
    • *.iso
    • *.jar
    • *.jpeg
    • *.jpg
    • *.js
    • *.jsp
    • *.log
    • *.mid
    • *.mp3
    • *.mp4
    • *.mpa
    • *.odp
    • *.ods
    • *.odt
    • *.ogg
    • *.part
    • *.pdf
    • *.php
    • *.pkg
    • *.png
    • *.png
    • *.png
    • *.ppt
    • *.pptx
    • *.ps
    • *.psd
    • *.py
    • *.py
    • *.rar
    • *.rpm
    • *.rss
    • *.rtf
    • *.sql
    • *.svg
    • *.tar.gz
    • *.tex
    • *.tif
    • *.tiff
    • *.toast
    • *.txt
    • *.vcd
    • *.wav
    • *.wks
    • *.wma
    • *.wpd
    • *.wpl
    • *.wps
    • *.wsf
    • *.xlr
    • *.xls
    • *.xlsx
    • *.z
    • *.zip
    • .jpg

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • %Desktop%
  • %User Profile%\Music
  • %User Profile%\Documents
  • %User Profile%\Pictures
  • %User Profile%\Videos
  • %User Profile%\Downloads
  • Removable Drives

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

  • {original filename and extension}.OXR

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.526.07
初回 VSAPI パターンリリース日 2017年7月11日
VSAPI OPR パターンバージョン 13.527.00
VSAPI OPR パターンリリース日 2017年7月12日

手順 1

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %User Profile%\AppData\Presector

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_HIDDENTEAROXAR.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください