解析者: Johnlery Triunfante   

 別名:

Trojan:Win32/Skeeyah.A!rfn (Microsoft); Trojan.MSIL.Agent.actgw ( KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 307,712 bytes
タイプ EXE
メモリ常駐 はい
発見日 2017年5月21日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

  • %Application Data%\MoWare_H\MoWare H.F.D\1.0.0.0\MoWare H.F.D.exe - System attribute

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

  • %AppDataLocal%\MoWare_H\MoWare_H.F.D.exe_Url_rufr5bwlal3kafxk0nnjweqsvzqznffz\1.0.0.0\user.config

(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\MoWare_H
  • %Application Data%\MoWare_H\MoWare H.F.D
  • %Application Data%\MoWare_H\MoWare H.F.D\1.0.0.0
  • %AppDataLocal%\MoWare_H
  • %AppDataLocal%\MoWare_H\MoWare_H.F.D.exe_Url_rufr5bwlal3kafxk0nnjweqsvzqznffz
  • %AppDataLocal%\MoWare_H\MoWare_H.F.D.exe_Url_rufr5bwlal3kafxk0nnjweqsvzqznffz\1.0.0.0

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
MoWare H.F.D = %Application Data%\MoWare_H\MoWare H.F.D\1.0.0.0\MoWare H.F.D.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = 1

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}uvenkaya.com/heyko/gen.php?generate={Machine Name} / {User Name}&hwid={Encrypted MAC address}

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

  • dat
  • .mx0
  • .cd
  • .pdb
  • .xqx
  • .old
  • .cnt
  • .rtp
  • .qss
  • .qst
  • .fx0
  • .fx1
  • .ipg
  • .ert
  • .pic
  • .img
  • .cur
  • .fxr
  • .slk
  • .m4u
  • .mpe
  • .mov
  • .wmv
  • .mpg
  • .vob
  • .mpeg
  • .3g2
  • .m4v
  • .avi
  • .mp4
  • .flv
  • .mkv
  • .3gp
  • .asf
  • .m3u
  • .m3u8
  • .wav
  • .mp3
  • .m4a
  • .m
  • .rm
  • .flac
  • .mp2
  • .mpa
  • .aac
  • .wma
  • .djv
  • .pdf
  • .djvu
  • .jpeg
  • .jpg
  • .bmp
  • .png
  • .jp2
  • .lz
  • .rz
  • .zipx
  • .gz
  • .bz2
  • .s7z
  • .tar
  • .7z
  • .tgz
  • .rar
  • .ziparc
  • .paq
  • .bak
  • .set
  • .back
  • .std
  • .vmx
  • .vmdk
  • .vdi
  • .qcow
  • .ini
  • .accd
  • .db
  • .sqli
  • .sdf
  • .mdf
  • .myd
  • .frm
  • .odb
  • .myi
  • .dbf
  • .indb
  • .mdb
  • .ibd
  • .sql
  • .cgn
  • .dcr
  • .fpx
  • .pcx
  • .rif
  • .tga
  • .wpg
  • .wi
  • .wmf
  • .tif
  • .xcf
  • .tiff
  • .xpm
  • .nef
  • .orf
  • .ra
  • .bay
  • .pcd
  • .dng
  • .ptx
  • .r3d
  • .raf
  • .rw2
  • .rwl
  • .kdc
  • .yuv
  • .sr2
  • .srf
  • .dip
  • .x3f
  • .mef
  • .raw
  • .log
  • .odg
  • .uop
  • .potx
  • .potm
  • .pptx
  • .rsspptm
  • .aaf
  • .xla
  • .sxd
  • .pot
  • .eps
  • .as3
  • .pns
  • .wpd
  • .wps
  • .msg
  • .pps
  • .xlam
  • .xll
  • .ost
  • .sti
  • .sxi
  • .otp
  • .odp
  • .wks
  • .vcf
  • .xltx
  • .xltm
  • .xlsx
  • .xlsm
  • .xlsb
  • .cntk
  • .xlw
  • .xlt
  • .xlm
  • .xlc
  • .dif
  • .sxc
  • .vsd
  • .ots
  • .prn
  • .ods
  • .hwp
  • .dotm
  • .dotx
  • .docm
  • .docx
  • .dot
  • .cal
  • .shw
  • .sldm
  • .txt
  • .csv
  • .mac
  • .met
  • .wk3
  • .wk4
  • .uot
  • .rtf
  • .sldx
  • .xls
  • .ppt
  • .stw
  • .sxw
  • .dtd
  • .eml
  • .ott
  • .odt
  • .doc
  • .odm
  • .ppsm
  • .xlr
  • .odc
  • .xlk
  • .ppsx
  • .obi
  • .ppam
  • .text
  • .docb
  • .wb2
  • .mda
  • .wk1
  • .sxm
  • .otg
  • .oab
  • .cmd
  • .bat
  • .h
  • .asx
  • .lua
  • .pl
  • .as
  • .hpp
  • .clas
  • .js
  • .fla
  • .py
  • .rb
  • .jsp
  • .cs
  • .c
  • .jar
  • .java
  • .asp
  • .vb
  • .vbs
  • .asm
  • .pas
  • .cpp
  • .xml
  • .php
  • .plb
  • .asc
  • .lay6
  • .pp4
  • .pp5
  • .ppf
  • .pat
  • .sct
  • .ms11
  • .lay
  • .iff
  • .ldf
  • .tbk
  • .swf
  • .brd
  • .css
  • .dxf
  • .dds
  • .efx
  • .sch
  • .dch
  • .ses
  • .mml
  • .fon
  • .gif
  • .psd
  • .html
  • .ico
  • .ipe
  • .dwg
  • .jng
  • .cdr
  • .aep
  • .aepx
  • .123
  • .prel
  • .prpr
  • .aet
  • .fim
  • .pfb
  • .ppj
  • .indd
  • .mhtm
  • .cmx
  • .cpt
  • .csl
  • .indl
  • .dsf
  • .ds4
  • .drw
  • .indt
  • .pdd
  • .per
  • .lcd
  • .pct
  • .prf
  • .pst
  • .inx
  • .plt
  • .idml
  • .pmd
  • .psp
  • .ttf
  • .3dm
  • .ai
  • .3ds
  • .ps
  • .cpx
  • .str
  • .cgm
  • .clk
  • .cdx
  • .xhtm
  • .cdt
  • .fmv
  • .aes
  • .gem
  • .max
  • .svg
  • .mid
  • .iif
  • .nd
  • .2017
  • .tt20
  • .qsm
  • .2015
  • .2014
  • .2013
  • .aif
  • .qbw
  • .qbb
  • .qbm
  • .ptb
  • .qbi
  • .qbr
  • .2012
  • .des
  • .v30
  • .qbo
  • .stc
  • .lgb
  • .qwc
  • .qbp
  • .qba
  • .tlg
  • .qbx
  • .qby
  • .1pa
  • .ach
  • .qpd
  • .gdb
  • .tax
  • .qif
  • .t14
  • .qdf
  • .ofx
  • .qfx
  • .t13
  • .ebc
  • .ebq
  • .2016
  • .tax2
  • .mye
  • .myox
  • .ets
  • .tt14
  • .epb
  • .500
  • .txf
  • .t15
  • .t11
  • .gpc
  • .qtx
  • .itf
  • .tt13
  • .t10
  • .qsd
  • .iban
  • .ofc
  • .bc9
  • .mny
  • .13t
  • .qxf
  • .amj
  • .m14
  • ._vc
  • .tbp
  • .qbk
  • .aci
  • .npc
  • .qbmb
  • .sba
  • .cfp
  • .nv2
  • .tfx
  • .n43
  • .let
  • .tt12
  • .210
  • .dac
  • .slp
  • .qb20
  • .saj
  • .zdb
  • .tt15
  • .ssg
  • .t09
  • .epa
  • .qch
  • .pd6
  • .rdy
  • .sic
  • .ta1
  • .lmr
  • .pr5
  • .op
  • .sdy
  • .brw
  • .vnd
  • .esv
  • .kd3
  • .vmb
  • .qph
  • .t08
  • .qel
  • .m12
  • .pvc
  • .q43
  • .etq
  • .u12
  • .hsr
  • .ati
  • .t00
  • .mmw
  • .bd2
  • .ac2
  • .qpb
  • .tt11
  • .zix
  • .ec8
  • .nv
  • .lid
  • .qmtf
  • .hif
  • .lld
  • .quic
  • .mbsb
  • .nl2
  • .qml
  • .wac
  • .cf8
  • .vbpf
  • .m10
  • .qix
  • .t04
  • .qpg
  • .quo
  • .ptdb
  • .gto
  • .pr0
  • .vdf
  • .q01
  • .fcr
  • .gnc
  • .ldc
  • .t05
  • .t06
  • .tom
  • .tt10
  • .qb1
  • .t01
  • .rpf
  • .t02
  • .tax1
  • .1pe
  • .skg
  • .pls
  • .t03
  • .xaa
  • .dgc
  • .mnp
  • .qdt
  • .mn8
  • .ptk
  • .t07
  • .chg
  • .#vc
  • .qfi
  • .acc
  • .m11
  • .kb7
  • .q09
  • .esk
  • .09i
  • .cpw
  • .sbf
  • .mql
  • .dxi
  • .kmo
  • .md
  • .u11
  • .oet
  • .ta8
  • .efs
  • .h12
  • .mne
  • .ebd
  • .fef
  • .qpi
  • .mn5
  • .exp
  • .m16
  • .09t
  • .00c
  • .qmt
  • .cfdi
  • .u10
  • .s12
  • .qme
  • .int?
  • .cf9
  • .ta5
  • .u08
  • .mmb
  • .qnx
  • .q07
  • .tb2
  • .say
  • .ab4
  • .pma
  • .defx
  • .tkr
  • .q06
  • .tpl
  • .ta2
  • .qob
  • .m15
  • .fca
  • .eqb
  • .q00
  • .mn4
  • .lhr
  • .t99
  • .mn9
  • .qem
  • .scd
  • .mwi
  • .mrq
  • .q98
  • .i2b
  • .mn6
  • .q08
  • .kmy
  • .bk2
  • .stm
  • .mn1
  • .bc8
  • .pfd
  • .bgt
  • .hts
  • .tax0
  • .cb
  • .resx
  • .mn7
  • .08i
  • .mn3
  • .ch
  • .meta
  • .07i
  • .rcs
  • .dtl
  • .ta9
  • .mem
  • .seam
  • .btif
  • .11t
  • .efsl
  • .$ac
  • .emp
  • .imp
  • .fxw
  • .sbc
  • .bpw
  • .mlb
  • .10t
  • .fa1
  • .saf
  • .trm
  • .fa2
  • .pr2
  • .xeq
  • .sbd
  • .fcpa
  • .ta6
  • .tdr
  • .acm
  • .lin
  • .dsb
  • .vyp
  • .emd
  • .pr1
  • .mn2
  • .bpf
  • .mws
  • .h11
  • .pr3
  • .gsb
  • .mlc
  • .nni
  • .cus
  • .ldr
  • .ta4
  • .inv
  • .omf
  • .reb
  • .qdfx
  • .pg
  • .coa
  • .rec
  • .rda
  • .ffd
  • .ml2
  • .ddd
  • .ess
  • .qbmd
  • .afm
  • .d07
  • .vyr
  • .acr
  • .dtau
  • .ml9
  • .bd3
  • .pcif
  • .cat
  • .h10
  • .ent
  • .fyc
  • .p08
  • .jsd
  • .zka
  • .hbk
  • .bkf
  • .mone
  • .pr4
  • .qw5
  • .cdf
  • .gfi
  • .cht
  • .por
  • .qbz
  • .ens
  • .3pe
  • .pxa
  • .intu
  • .trn
  • .3me
  • .07g
  • .jsda
  • .2011
  • .fcpr
  • .qwmo
  • .t12
  • .pfx
  • .p7b
  • .der
  • .nap
  • .p12
  • .p7c
  • .crt
  • .csr
  • .pem
  • .gpg
  • .key

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • %System%\
  • %User Profile%\Documents\
  • %User Profile%\Music\
  • %User Profile%\Pictures\
  • %Application Data%\Microsoft\Windows\Cookies\
  • %Desktop%\

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .H_F_D_locked

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.426.08
初回 VSAPI パターンリリース日 2017年5月24日
VSAPI OPR パターンバージョン 13.427.00
VSAPI OPR パターンリリース日 2017年5月25日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • MoWare H.F.D = %Application Data%\MoWare_H\MoWare H.F.D\1.0.0.0\MoWare H.F.D.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableTaskMgr = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableCMD = 1
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableRegistryTools = 1

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\MoWare_H
  • %Application Data%\MoWare_H\MoWare H.F.D
  • %Application Data%\MoWare_H\MoWare H.F.D\1.0.0.0
  • %AppDataLocal%\MoWare_H
  • %AppDataLocal%\MoWare_H\MoWare_H.F.D.exe_Url_rufr5bwlal3kafxk0nnjweqsvzqznffz
  • %AppDataLocal%\MoWare_H\MoWare_H.F.D.exe_Url_rufr5bwlal3kafxk0nnjweqsvzqznffz\1.0.0.0

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\MoWare_H\MoWare_H.F.D.exe_Url_rufr5bwlal3kafxk0nnjweqsvzqznffz\1.0.0.0\user.config
  • %Application Data%\MoWare_H\MoWare H.F.D\1.0.0.0\MoWare H.F.D.exe

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_MOWARE.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください