RANSOM_MAGNIBER.B

感染経路他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

ファイルサイズ 46,592 bytes

タイプ EXE

メモリ常駐なし

発見日 2017年10月17日

ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Temp%kgpvwnr.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のファイルを作成します。

%User Temp%/{Random 19 Characters}.kgpvwnr

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のプロセスを追加します。

cmd /c ping localhost -n 3 > nul & del {Directory of Malware} -> used to delete itself.

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

kgpvwnr

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

http://{Random 19 Characters}.{Sub Domain}/new
Where {Sub Domain} can be any of the following:
- segon.racing
- keysmap.trade
- goflag.webcam
- sayhere.party

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

.doc
.docx
.xls
.xlsx
.ppt
.pptx
.pst
.ost
.msg
.em
.vsd
.vsdx
.csv
.rtf
.123
.wks
.wk1
.pdf
.dwg
.onetoc2
.snt
.docb
.docm
.dot
.dotm
.dotx
.xlsm
.xlsb
.xlw
.xlt
.xlm
.xlc
.xltx
.xltm
.pptm
.pot
.pps
.ppsm
.ppsx
.ppam
.potx
.potm
.edb
.hwp
.602
.sxi
.sti
.sldx
.sldm
.vdi
.vmx
.gpg
.aes
.raw
.cgm
.nef
.psd
.ai
.svg
.djvu
.sh
.class
.jar
.java
.rb
.asp
.php
.jsp
.brd
.sch
.dch
.dip
.vb
.vbs
.ps1
.js
.asm
.pas
.cpp
.cs
.suo
.sln
.ldf
.mdf
.ibd
.myi
.myd
.frm
.odb
.dbf
.db
.mdb
.accdb
.sq
.sqlitedb
.sqlite3
.asc
.lay6
.lay
.mm
.sxm
.otg
.odg
.uop
.std
.sxd
.otp
.odp
.wb2
.slk
.dif
.stc
.sxc
.ots
.ods
.3dm
.max
.3ds
.uot
.stw
.sxw
.ott
.odt
.pem
.p12
.csr
.crt
.key
.pfx
.der
.1cd
.cd
.arw
.jpe
.eq
.adp
.odm
.dbc
.frx
.db2
.dbs
.pds
.pdt
.dt
.cf
.cfu
.mx
.epf
.kdbx
.erf
.vrp
.grs
.geo
.st
.pff
.mft
.efd
.rib
.ma
.lwo
.lws
.m3d
.mb
.obj
.x3d
.c4d
.fbx
.dgn
.4db
.4d
.4mp
.abs
.adn
.a3d
.aft
.ahd
.alf
.ask
.awdb
.azz
.bdb
.bib
.bnd
.bok
.btr
.cdb
.ckp
.clkw
.cma
.crd
.dad
.daf
.db3
.dbk
.dbt
.dbv
.dbx
.dcb
.dct
.dcx
.dd
.df1
.dmo
.dnc
.dp1
.dqy
.dsk
.dsn
.dta
.dtsx
.dx
.eco
.ecx
.emd
.fcd
.fic
.fid
.fi
.fm5
.fo
.fp3
.fp4
.fp5
.fp7
.fpt
.fzb
.fzv
.gdb
.gwi
.hdb
.his
.ib
.idc
.ihx
.itdb
.itw
.jtx
.kdb
.lgc
.maq
.mdn
.mdt
.mrg
.mud
.mwb
.s3m
.ndf
.ns2
.ns3
.ns4
.nsf
.nv2
.nyf
.oce
.oqy
.ora
.orx
.owc
.owg
.oyx
.p96
.p97
.pan
.pdb
.pdm
.phm
.pnz
.pth
.pwa
.qpx
.qry
.qvd
.rctd
.rdb
.rpd
.rsd
.sbf
.sdb
.sdf
.spq
.sqb
.stp
.str
.tcx
.tdt
.te
.tmd
.trm
.udb
.usr
.v12
.vdb
.vpd
.wdb
.wmdb
.xdb
.xld
.xlgc
.zdb
.zdc
.cdr
.cdr3
.abw
.act
.aim
.ans
.apt
.ase
.aty
.awp
.awt
.aww
.bad
.bbs
.bdp
.bdr
.bean
.bna
.boc
.btd
.cnm
.crw
.cyi
.dca
.dgs
.diz
.dne
.docz
.dsv
.dvi
.dx
.eio
.eit
.emlx
.epp
.err
.etf
.etx
.euc
.faq
.fb2
.fb
.fcf
.fdf
.fdr
.fds
.fdt
.fdx
.fdxt
.fes
.fft
.flr
.fodt
.gtp
.frt
.fwdn
.fxc
.gdoc
.gio
.gpn
.gsd
.gthr
.gv
.hbk
.hht
.hs
.htc
.hz
.idx
.ii
.ipf
.jis
.joe
.jp1
.jrtf
.kes
.klg
.knt
.kon
.kwd
.lbt
.lis
.lit
.lnt
.lp2
.lrc
.lst
.ltr
.ltx
.lue
.luf
.lwp
.lyt
.lyx
.man
.map
.mbox
.me
.mel
.min
.mnt
.mwp
.nfo
.njx
.now
.nzb
.ocr
.odo
.of
.oft
.ort
.p7s
.pfs
.pjt
.prt
.psw
.pu
.pvj
.pvm
.pwi
.pwr
.qd
.rad
.rft
.ris
.rng
.rpt
.rst
.rt
.rtd
.rtx
.run
.rzk
.rzn
.saf
.sam
.scc
.scm
.sct
.scw
.sdm
.sdoc
.sdw
.sgm
.sig
.sla
.sls
.smf
.sms
.ssa
.sty
.sub
.sxg
.tab
.tdf
.tex
.text
.thp
.tlb
.tm
.tmv
.tmx
.tpc
.tvj
.u3d
.u3i
.unx
.uof
.upd
.utf8
.utxt
.vct
.vnt
.vw
.wbk
.wcf
.wgz
.wn
.wp
.wp4
.wp5
.wp6
.wp7
.wpa
.wpd
.wp
.wps
.wpt
.wpw
.wri
.wsc
.wsd
.wsh
.wtx
.xd
.xlf
.xps
.xwp
.xy3
.xyp
.xyw
.ybk
.ym
.zabw
.zw
.abm
.afx
.agif
.agp
.aic
.albm
.apd
.apm
.apng
.aps
.apx
.art
.asw
.bay
.bm2
.bmx
.brk
.brn
.brt
.bss
.bti
.c4
.ca
.cals
.can
.cd5
.cdc
.cdg
.cimg
.cin
.cit
.colz
.cpc
.cpd
.cpg
.cps
.cpx
.cr2
.ct
.dc2
.dcr
.dds
.dgt
.dib
.djv
.dm3
.dmi
.vue
.dpx
.wire
.drz
.dt2
.dtw
.dv
.ecw
.eip
.exr
.fa
.fax
.fpos
.fpx
.g3
.gcdp
.gfb
.gfie
.ggr
.gih
.gim
.spr
.scad
.gpd
.gro
.grob
.hdp
.hdr
.hpi
.i3d
.icn
.icon
.icpr
.iiq
.info
.ipx
.itc2
.iwi
.j2c
.j2k
.jas
.jb2
.jbig
.jbmp
.jbr
.jfif
.jia
.jng
.jp2
.jpg2
.tne
.ufr
.vbr
.vec
.vm
.vsdm
.vstm
.stm
.vstx
.wpg
.vsm
.xar
.ya
.orf
.ota
.oti
.ozb
.ozj
.ozt
.pa
.pano
.pap
.pbm
.pc1
.pc2
.pc3
.pcd
.pdd
.pe4
.pef
.pfi
.pgf
.pgm
.pi1
.pi2
.pi3
.pic
.pict
.pix
.pjpg
.pm
.pmg
.pni
.pnm
.pntg
.pop
.pp4
.pp5
.ppm
.prw
.psdx
.pse
.psp
.ptg
.ptx
.pvr
.px
.pxr
.pz3
.pza
.pzp
.pzs
.z3d
.qmg
.ras
.rcu
.rgb
.rgf
.ric
.riff
.rix
.rle
.rli
.rpf
.rri
.rs
.rsb
.rsr
.rw2
.rw
.s2mv
.sci
.sep
.sfc
.sfw
.skm
.sld
.sob
.spa
.spe
.sph
.spj
.spp
.sr2
.srw
.wallet
.jpeg
.jpg
.vmdk
.arc
.paq
.bz2
.tbk
.bak
.tar
.tgz
.gz
.7z
.rar
.zip
.backup
.iso
.vcd
.bmp
.png
.gif
.tif
.tiff
.m4u
.m3u
.mid
.wma
.flv
.3g2
.mkv
.3gp
.mp4
.mov
.avi
.asf
.mpeg
.vob
.mpg
.wmv
.fla
.swf
.wav
.mp3
.jps
.jpx
.jtf
.jw
.jxr
.kdc
.kdi
.kdk
.kic
.kpg
.lbm
.ljp
.mac
.mbm
.mef
.mnr
.mos
.mpf
.mpo
.mrxs
.my
.ncr
.nct
.nlm
.nrw
.oc3
.oc4
.oc5
.oci
.omf
.oplc
.af2
.af3
.asy
.cdmm
.cdmt
.cdmz
.cdt
.cmx
.cnv
.csy
.cv5
.cvg
.cvi
.cvs
.cvx
.cwt
.cxf
.dcs
.ded
.dhs
.dpp
.drw
.dxb
.dxf
.egc
.emf
.ep
.eps
.epsf
.fh10
.fh11
.fh3
.fh4
.fh5
.fh6
.fh7
.fh8
.fif
.fig
.fmv
.ft10
.ft11
.ft7
.ft8
.ft9
.ftn
.fxg
.gem
.glox
.hpg
.hpg
.hp
.idea
.igt
.igx
.imd
.ink
.lmk
.mgcb
.mgmf
.mgmt
.mt9
.mgmx
.mgtx
.mmat
.mat
.ovp
.ovr
.pcs
.pfv
.plt
.vrm
.pobj
.psid
.rd
.scv
.sk1
.sk2
.ssk
.stn
.svf
.svgz
.tlc

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

:\documents and settings\all users\
:\documents and settings\default user\
:\documents and settings\localservice\
:\documents and settings\networkservice\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\
\$recycle.bin
\$windows.~bt
\$windows.~ws
\boot
\intel
\msocache
\perflogs
\program files (x86)
\program files
\programdata
\recovery
\recycled
\recycler
\system volume information
\windows.old
\windows10upgrade
\windows
\winnt

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.kgpvwnr

マルウェアが作成する以下のファイルは、脅迫状です。

{Encrypted Directory}\_HOW_TO_DECRYPT_MY_FILES_{Random 19 Characters}

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 13.726.05

初回 VSAPI パターンリリース日 2017年10月17日

VSAPI OPR パターンバージョン 13.727.00

VSAPI OPR パターンリリース日 2017年10月18日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Temp%/{Random 19 Characters}.kgpvwnr
{Encrypted Directory}_HOW_TO_DECRYPT_MY_FILES_{Random 19 Characters}_.txt

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「RANSOM_MAGNIBER.B」と検出したファイルの駆除を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

RANSOM_MAGNIBER.B

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa