解析者: Rhena Inocencio   

 別名:

Ransom:PowerShell/Powerware.A (Microsoft), Trojan-Ransom.PowerShell.Agent.a (Kaspersky), PowerShell/Filecoder.F (ESET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 不定
タイプ Script
メモリ常駐 なし
発見日 2016年3月29日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}a.in/file.php

インストール

マルウェアは、以下のファイルを作成します。

  • {folders containing encrypted files}\FILES_ENCRYPTED-READ_ME.HTML - ransom note

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}a.in/pi.php

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • *.docx
  • *.xls
  • *.pdf
  • *.xlsx
  • *.mp3
  • *.jpeg
  • *.jpg
  • *.txt
  • *.rtf
  • *.doc
  • *.rar
  • *.zip
  • *.psd
  • *.tif
  • *.wma
  • *.gif
  • *.bmp
  • *.ppt
  • *.pptx
  • *.docm
  • *.xlsm
  • *.pps
  • *.ppsx
  • *.ppd
  • *.eps
  • *.png
  • *.ace
  • *.djvu
  • *.tar
  • *.cdr
  • *.max
  • *.wmv
  • *.avi
  • *.wav
  • *.mp4
  • *.pdd
  • *.php
  • *.aac
  • *.ac3
  • *.amr
  • *.dwg
  • *.dxf
  • *.accdb
  • *.mod
  • *.tax2013
  • *.tax2014
  • *.oga
  • *.ogg
  • *.pbf
  • *.ra
  • *.raw
  • *.saf
  • *.wave
  • *.wow
  • *.wpk
  • *.3g2
  • *.3gp
  • *.3gp2
  • *.3mm
  • *.amx
  • *.avs
  • *.bik
  • *.dir
  • *.divx
  • *.dvx
  • *.evo
  • *.flv
  • *.qtq
  • *.tch
  • *.rts
  • *.rum
  • *.rv
  • *.scn
  • *.srt
  • *.stx
  • *.svi
  • *.swf
  • *.trp
  • *.vdo
  • *.wm
  • *.wmd
  • *.wmmp
  • *.wmx
  • *.wvx
  • *.xvid
  • *.3d
  • *.3d4
  • *.3df8
  • *.pbs
  • *.adi
  • *.ais
  • *.amu
  • *.arr
  • *.bmc
  • *.bmf
  • *.cag
  • *.cam
  • *.dng
  • *.ink
  • *.jif
  • *.jiff
  • *.jpc
  • *.jpf
  • *.jpw
  • *.mag
  • *.mic
  • *.mip
  • *.msp
  • *.nav
  • *.ncd
  • *.odc
  • *.odi
  • *.opf
  • *.qif
  • *.xwd
  • *.abw
  • *.act
  • *.adt
  • *.aim
  • *.ans
  • *.asc
  • *.ase
  • *.bdp
  • *.bdr
  • *.bib
  • *.boc
  • *.crd
  • *.diz
  • *.dot
  • *.dotm
  • *.dotx
  • *.dvi
  • *.dxe
  • *.mlx
  • *.err
  • *.euc
  • *.faq
  • *.fdr
  • *.fds
  • *.gthr
  • *.idx
  • *.kwd
  • *.lp2
  • *.ltr
  • *.man
  • *.mbox
  • *.msg
  • *.nfo
  • *.now
  • *.odm
  • *.oft
  • *.pwi
  • *.rng
  • *.rtx
  • *.run
  • *.ssa
  • *.text
  • *.unx
  • *.wbk
  • *.wsh
  • *.7z
  • *.arc
  • *.ari
  • *.arj
  • *.car
  • *.cbr
  • *.cbz
  • *.gz
  • *.gzig
  • *.jgz
  • *.pak
  • *.pcv
  • *.puz
  • *.r00
  • *.r01
  • *.r02
  • *.r03
  • *.rev
  • *.sdn
  • *.sen
  • *.sfs
  • *.sfx
  • *.sh
  • *.shar
  • *.shr
  • *.sqx
  • *.tbz2
  • *.tg
  • *.tlz
  • *.vsi
  • *.wad
  • *.war
  • *.xpi
  • *.z02
  • *.z04
  • *.zap
  • *.zipx
  • *.zoo
  • *.ipa
  • *.isu
  • *.jar
  • *.js
  • *.udf
  • *.adr
  • *.ap
  • *.aro
  • *.asa
  • *.ascx
  • *.ashx
  • *.asmx
  • *.asp
  • *.indd
  • *.asr
  • *.qbb
  • *.bml
  • *.cer
  • *.cms
  • *.crt
  • *.dap
  • *.htm
  • *.moz
  • *.svr
  • *.url
  • *.wdgt
  • *.abk
  • *.bic
  • *.big
  • *.blp
  • *.bsp
  • *.cgf
  • *.chk
  • *.col
  • *.cty
  • *.dem
  • *.elf
  • *.ff
  • *.gam
  • *.grf
  • *.h3m
  • *.h4r
  • *.iwd
  • *.ldb
  • *.lgp
  • *.lvl
  • *.map
  • *.md3
  • *.mdl
  • *.mm6
  • *.mm7
  • *.mm8
  • *.nds
  • *.pbp
  • *.ppf
  • *.pwf
  • *.pxp
  • *.sad
  • *.sav
  • *.scm
  • *.scx
  • *.sdt
  • *.spr
  • *.sud
  • *.uax
  • *.umx
  • *.unr
  • *.uop
  • *.usa
  • *.usx
  • *.ut2
  • *.ut3
  • *.utc
  • *.utx
  • *.uvx
  • *.uxx
  • *.vmf
  • *.vtf
  • *.w3g
  • *.w3x
  • *.wtd
  • *.wtf
  • *.ccd
  • *.cd
  • *.cso
  • *.disk
  • *.dmg
  • *.dvd
  • *.fcd
  • *.flp
  • *.img
  • *.iso
  • *.isz
  • *.md0
  • *.md1
  • *.md2
  • *.mdf
  • *.mds
  • *.nrg
  • *.nri
  • *.vcd
  • *.vhd
  • *.snp
  • *.bkf
  • *.ade
  • *.adpb
  • *.dic
  • *.cch
  • *.ctt
  • *.dal
  • *.ddc
  • *.ddcx
  • *.dex
  • *.dif
  • *.dii
  • *.itdb
  • *.itl
  • *.kmz
  • *.lcd
  • *.lcf
  • *.mbx
  • *.mdn
  • *.odf
  • *.odp
  • *.ods
  • *.pab
  • *.pkb
  • *.pkh
  • *.pot
  • *.potx
  • *.pptm
  • *.psa
  • *.qdf
  • *.qel
  • *.rgn
  • *.rrt
  • *.rsw
  • *.rte
  • *.sdb
  • *.sdc
  • *.sds
  • *.sql
  • *.stt
  • *.t01
  • *.t03
  • *.t05
  • *.tcx
  • *.thmx
  • *.txd
  • *.txf
  • *.upoi
  • *.vmt
  • *.wks
  • *.wmdb
  • *.xl
  • *.xlc
  • *.xlr
  • *.xlsb
  • *.xltx
  • *.ltm
  • *.xlwx
  • *.mcd
  • *.cap
  • *.cc
  • *.cod
  • *.cp
  • *.cpp
  • *.cs
  • *.csi
  • *.dcp
  • *.dcu
  • *.dev
  • *.dob
  • *.dox
  • *.dpk
  • *.dpl
  • *.dpr
  • *.dsk
  • *.dsp
  • *.eql
  • *.ex
  • *.f90
  • *.fla
  • *.for
  • *.fpp
  • *.jav
  • *.java
  • *.lbi
  • *.owl
  • *.pl
  • *.plc
  • *.pli
  • *.pm
  • *.res
  • *.rsrc
  • *.so
  • *.swd
  • *.tpu
  • *.tpx
  • *.tu
  • *.tur
  • *.vc
  • *.yab
  • *.8ba
  • *.8bc
  • *.8be
  • *.8bf
  • *.8bi8
  • *.bi8
  • *.8bl
  • *.8bs
  • *.8bx
  • *.8by
  • *.8li
  • *.aip
  • *.amxx
  • *.ape
  • *.api
  • *.mxp
  • *.oxt
  • *.qpx
  • *.qtr
  • *.xla
  • *.xlam
  • *.xll
  • *.xlv
  • *.xpt
  • *.cfg
  • *.cwf
  • *.dbb
  • *.slt
  • *.bp2
  • *.bp3
  • *.bpl
  • *.clr
  • *.dbx
  • *.jc
  • *.potm
  • *.ppsm
  • *.prc
  • *.prt
  • *.shw
  • *.std
  • *.ver
  • *.wpl
  • *.xlm
  • *.yps
  • *.md3
  • *.1cd

  対応方法

対応検索エンジン: 9.800

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • FILES_ENCRYPTED-READ_ME.HTML

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_POWERWARE.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください