Ransom.Linux.EBANUL.THGOCBD
Linux
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
その他
マルウェアは、以下を実行します。
- It won't proceed to encryption unless the parameter -p | --path is specified.
マルウェアは、以下のパラメータを受け取ります。
- -h | --help → show help message
- -p | --path {Path} → encrypt files in the specified path
- -m | --mode local → encrypt mode - only local (default)
- -l | --log {Filename} → log file path
- -v | --verbose → enable verbose mode
- --exclude-vms {Filename} → filename path with VMS names for excluding encrypting
- --esxi-vm-killer-off → disable ESXi VMS killer
- --no-mutex → start program without checking global sync object
ランサムウェアの不正活動
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .NBA
以下のファイル拡張子を持つファイルについては暗号化しません:
- .NBA
- .NBA{Any String}
<補足>
その他
マルウェアは、パラメータ「-p | --path」が指定されない限り、暗号化を実行しません。
マルウェアは、以下のパラメータを受け取ります。
- -h | --help → ヘルプメッセージを表示する
- -p | --path {パス} → 指定されたパス内のファイルを暗号化する
- -m | --mode local → 暗号化モード - ローカルのみ(デフォルト)
- -l | --log {ファイル名} → ログファイルのパス
- -v | --verbose → 詳細モードを有効化する
- --exclude-vms {ファイル名} → 暗号化の対象外となる、仮想マシンの名前が使用されたファイル名を含むパス
- --esxi-vm-killer-off → ESXi上の仮想マシンを強制終了するプログラム(killer)を無効化する
- --no-mutex → 名前空間がグローバルに指定された同期オブジェクトを確認しないでプログラムを起動する
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.ELF.TRX.XXELFC1DFF045
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Linux.EBANUL.THGOCBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 3
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください