RANSOM_KILLDISK.B
Trojan.Win32.KillDisk.fx (Kaspersky), Win32/KillDisk.NBK trojan (NOD32), Trojan.Disakil (Symantec)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。
- avp.exe
- avpui.exe
- ekrn.exe
- egui.exe
- mfemmc.exe
- mfefire.exe
- mfevtps.exe
- pefservice.exe
- mcsvhost.exe
- msascui.exe
- msmpeng.exe
- mpcmdrun.exe
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
DisplayName = System update center
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
ImagePath = "{malware path and filename} -opt=svc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
Start= = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent\Enum
0 = "Root\LEGACY_UPDCENT\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent\Enum
Count = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent\Enum
NextInstance = "1"
マルウェアは、以下のサービスを追加し、実行します。
- updcent (System update center)
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\updcent
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
UpdateCenter
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
UpdateCenter
LastUpdate = {value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
UpdateCenter
FirstUpdate = {value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
UpdateCenter
NextUpdate = {value}
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .3ds
- .7z
- .accdb
- .accdc
- .ai
- .asp
- .aspx
- .avhd
- .back
- .bak
- .bin
- .bkf
- .cer
- .cfg
- .conf
- .crl
- .crt
- .csr
- .csv
- .dat
- .db3
- .db4
- .dbc
- .dbf
- .dbx
- .djvu
- .doc
- .docx
- .dr
- .dwg
- .dxf
- .edb
- .eml
- .fdb
- .gdb
- .git
- .gz
- .hdd
- .ib
- .ibz
- .io
- .jar
- .jpeg
- .jpg
- .jrs
- .js
- .kdbx
- .key
- .max
- .mdb
- .mdbx
- .mdf
- .mkv
- .mlk
- .mp3
- .msi
- .my
- .myd
- .nsn
- .oda
- .ost
- .ovf
- .p7b
- .p7c
- .p7r
- .pd
- .pem
- .pfx
- .php
- .pio
- .piz
- .png
- .ppt
- .pptx
- .ps
- .ps1
- .pst
- .pvi
- .pvk
- .py
- .pyc
- .rar
- .rb
- .rtf
- .sdb
- .sdf
- .sh
- .sl3
- .spc
- .sql
- .sqlite
- .sqlite3
- .tar
- .tiff
- .vbk
- .vbm
- .vbox
- .vcb
- .vdi
- .vfd
- .vhd
- .vhdx
- .vmc
- .vmdk
- .vmem
- .vmfx
- .vmsd
- .vmx
- .vmxf
- .vsd
- .vsdx
- .vsv
- .wav
- .wdb
- .xls
- .xlsx
- .xvd
- .zip
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このマルウェアのサービスを無効にします。
- updcent(System update center)
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- updcent
- updcent
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- UpdateCenter
- UpdateCenter
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_KILLDISK.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_KILLDISK.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください