TROJ_RANSOM.POL
Trojan.ADH.2 (Symantec), a variant of Win32/Kryptik.AMFD trojan (ESET)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、警察機関を装う「ランサムウェア(身代金要求型マルウェア)」として知られています。マルウェアは、感染コンピュータ上でファイルを暗号化することによって、著作権法を執行するように装います。
マルウェアは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。
- "You id: {random numbers}
- If you are reading this warning.txt file, it means that your computer and IP address were suspected of copyright violation and unauthorized access to the licensed software.
- All files located on your hard discs have been encrypted. Note to self: do not try to rename any files or alter their contents since it may lead to the inability of their subsequent decryption.
- The copyrights are protected and governed by the articles 17 U.S.C. § 102, § 107, § 108, § 109 ? § 501 of the United States of America legislation.
- Violation of the above noted laws is subject to either the money penalty of $300.000 or a 10-year term of imprisonment.
- You have 48 hours in order to pay an indemnity to the copyright holders,
- otherwise the US law enforcement community will have to file a lawsuit against you.
- In order to pay the indemnity you need to purchase a MoneyPak with nominal value of 100 dollars.
- The code shall be sent to websecuritylog@hotmail.com using your e-mail.
- You can purchase MoneyPak codes in any Walmart, CVS/Pharmacy, Kmart or Walgreens store.
- As soon as we receive the code, you will be sent an application which is going to decrypt all infected files on your computer."
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- 1cd
- 3gp
- H*
- X*
- avi
- bmp
- cad
- cer
- chm
- dbf
- doc
- docx
- dwg
- flv
- gz
- h*
- htm
- html
- ifo
- jpeg
- jpg
- ls
- m2v
- max
- md
- mdb
- mdf
- mov
- mp3
- mpeg
- mpg
- odt
- p12
- pfx
- php
- php4
- php5
- png
- ppt
- pptx
- rar
- rtf
- tar
- txt
- vob
- xls
- xlsx
- xlt
- zip
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {orginal filename}.police
マルウェアは、A:ドライブからZ:ドライブにおけるすべてのフォルダおよびサブフォルダ内のファイルを暗号化します。
マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。マルウェアは、暗号化したファイルが存在するフォルダ内に以下のようにそのテキストファイルを作成します。
- WARNING.txt
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_RANSOM.POL」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
TROJ_RANSOM.POL として検出されたファイルを検索し削除します。
註:このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
特定のファイルが起動した際、マルウェアの自動起動実行の停止:
- [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
- [ファイル名のすべてまたは一部]に上記で確認したファイル名を入力してください。
- [探す場所]の一覧から[マイコンピュータ]を選択し、Enter を押します。
- 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- [スタート]をクリックします。
- [プログラムとファイルの検索]に、上記で確認したファイル名を入力し、Enter を押します。
- 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_RANSOM.POL」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
以下の削除されたファイルをバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみに修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- {original filename}.police
ご利用はいかがでしたか? アンケートにご協力ください