Trend Micro Security

Ransom.MSIL.CRYPONY.THBOHAI

2019年3月29日
 解析者: Jemimah Mae Molina   

 別名:

VirTool:MSIL/Obfuscator.BK [submit_sample] (MICROSOFT); MSIL/Injector.PE!tr (FORTINET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 176,128 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年2月8日
ペイロード ウインドウの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • {malware directory}\{malware file name}.exe

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • OllyDbg
  • SbieCtrl
  • mbam
  • taskmgr
  • HijackThis
  • Virtual PC
  • TEMemoryScanner

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • .rd4
  • .rd5
  • .rdb
  • .rdl
  • .rdx
  • .rec
  • .rgb
  • .rle
  • .rmi
  • .rpb
  • .rpd
  • .rpm
  • .rpt
  • .rtf
  • .aac
  • .a3w
  • .abk
  • .abr
  • .ace
  • .acr
  • .act
  • .adf
  • .adm
  • .adp
  • .adr
  • .aif
  • .ani
  • .ans
  • .ape
  • .apk
  • .arc
  • .arj
  • .asc
  • .asf
  • .asp
  • .ato
  • .aty
  • .avi
  • .axx
  • .b3d
  • .b64
  • .bak
  • .bas
  • .bat
  • .bfc
  • .bin
  • .bk2
  • .bmp
  • .bnk
  • .bps
  • .bpt
  • .brk
  • .btoa
  • .bv1
  • .bwp
  • .bz2
  • .cab
  • .cal
  • .cam
  • .cas
  • .cbl
  • .cbt
  • .cda
  • .cdr
  • .cdt
  • .cfb
  • .cfg
  • .cfl
  • .cfm
  • .cgm
  • .chk
  • .cl3
  • .cl4
  • .cla
  • .clg
  • .clk
  • .cll
  • .clo
  • .clp
  • .clr
  • .cls
  • .cmd
  • .cmv
  • .cnt
  • .cpl
  • .cne
  • .cnf
  • .cnv
  • .cob
  • .cod
  • .com
  • .cpe
  • .cpi
  • .cpp
  • .cpt
  • .cr2
  • .crd
  • .crt
  • .crw
  • .csv
  • .css
  • .cue
  • .cur
  • .cv5
  • .cvi
  • .cvs
  • .cvx
  • .cxf
  • .cxx
  • .daa
  • .daf
  • .dat
  • .db2
  • .dbc
  • .dbf
  • .dbk
  • .dbm
  • .dbo
  • .dbq
  • .dbt
  • .dbv
  • .dbw
  • .dbx
  • .dcm
  • .dcr
  • .dcx
  • .dds
  • .deb
  • .dev
  • .dib
  • .dif
  • .djvu
  • .dll
  • .dmo
  • .dmp
  • .dmd
  • .dmf
  • .dms
  • .dne
  • .dng
  • .doc
  • .docx
  • .dos
  • .dot
  • .drv
  • .drw
  • .dt_
  • .dta
  • .dtd
  • .dtf
  • .dtm
  • .dun
  • .dxf
  • .dxn
  • .dxr
  • .dyn
  • .dwf
  • .dwg
  • .ecw
  • .eeb
  • .eef
  • .eft
  • .ega
  • .elg
  • .emf
  • .eml
  • .emu
  • .enc
  • .end
  • .eng
  • .env
  • .epg
  • .eps
  • .eqn
  • .erd
  • .erm
  • .err
  • .esh
  • .evt
  • .ex3
  • .exc
  • .exd
  • .ext
  • .fcp
  • .fdf
  • .fes
  • .ffa
  • .fff
  • .ffl
  • .ffo
  • .fft
  • .ffx
  • .fits
  • .flac
  • .flv
  • .fnd
  • .fon
  • .fpb
  • .fpr
  • .fpx
  • .fqy
  • .fr3
  • .frc
  • .frm
  • .fro
  • .frp
  • .frs
  • .frt
  • .frx
  • .frz
  • .fsc
  • .fsh
  • .gho
  • .gif
  • .gr2
  • .gr3
  • .gra
  • .grb
  • .grf
  • .grp
  • .hbk
  • .hdl
  • .hdr
  • .hdx
  • .hex
  • .hfi
  • .hgl
  • .hhh
  • .hhp
  • .hlp
  • .hpgl
  • .hqx
  • .hsq
  • .hss
  • .hst
  • .hta
  • .htm
  • .html
  • .htt
  • .k2p
  • .ica
  • .icb
  • .icc
  • .ice
  • .icl
  • .icm
  • .icn
  • .ico
  • .ics
  • .idb
  • .idd
  • .ide
  • .idf
  • .idq
  • .idx
  • .iff
  • .ifo
  • .ima
  • .img
  • .inf
  • .ini
  • .ins
  • .ipd
  • .ipf
  • .iso
  • .iw44
  • .iwa
  • .j2k
  • .jar
  • .jas
  • .jef
  • .jng
  • .jp2
  • .jpg
  • .jpc
  • .jpeg
  • .jpm
  • .jsb
  • .jsd
  • .jse
  • .jsh
  • .jsl
  • .jsm
  • .jsp
  • .jss
  • .json
  • .jtf
  • .jtk
  • .jtp
  • .jwl
  • .jzz
  • .kar
  • .kbc
  • .kdc
  • .kdp
  • .kfx
  • .kye
  • .lbm
  • .ldf
  • .lgc
  • .lha
  • .lib
  • .log
  • .lnk
  • .lwf
  • .lwp
  • .lzh
  • .mac
  • .mbx
  • .mcd
  • .mda
  • .mdb
  • .mde
  • .mdf
  • .mdl
  • .mdm
  • .mdn
  • .mdp
  • .mdt
  • .mdw
  • .mdx
  • .mdz
  • .meb
  • .med
  • .mem
  • .mht
  • .mid
  • .mim
  • .mix
  • .mk3d
  • .mka
  • .mks
  • .mkv
  • .mme
  • .mng
  • .mod
  • .mov
  • .mp1
  • .mp2
  • .mp3
  • .mpp
  • .mpg
  • .mrw
  • .msc
  • .msi
  • .msn
  • .msp
  • .mtf
  • .mtm
  • .mtv
  • .mtw
  • .mul
  • .mup
  • .mus
  • .mvb
  • .mve
  • .mvf
  • .mwp
  • .mxd
  • .mxt
  • .myd
  • .n64
  • .na2
  • .nab
  • .nap
  • .ndf
  • .nds
  • .ndx
  • .nef
  • .nes
  • .neta
  • .nfo
  • .nil
  • .ngf
  • .ngg
  • .nhf
  • .nil
  • .nlb
  • .nld
  • .nlm
  • .nmi
  • .nol
  • .now
  • .nra
  • .nrb
  • .nrg
  • .ns2
  • .ns5
  • .nso
  • .num
  • .nzb
  • .oca
  • .ocx
  • .ogg
  • .ogm
  • .olb
  • .old
  • .ole
  • .oli
  • .orf
  • .ori
  • .qtif
  • .otl
  • .pab
  • .pak
  • .pbd
  • .pbf
  • .pbk
  • .pbl
  • .pbm
  • .pbr
  • .pbi
  • .pbo
  • .pbt
  • .pcd
  • .pcx
  • .pda
  • .pdb
  • .pdd
  • .pdf
  • .pdl
  • .pds
  • .pdv
  • .pdw
  • .pef
  • .pgm
  • .php
  • .pic
  • .pict
  • .pif
  • .pjf
  • .pkg
  • .plb
  • .plc
  • .pld
  • .plg
  • .pli
  • .pll
  • .plm
  • .pln
  • .plr
  • .pls
  • .plt
  • .ply
  • .png
  • .pot
  • .pp4
  • .pp5
  • .ppa
  • .ppb
  • .ppd
  • .ppf
  • .ppi
  • .ppl
  • .ppm
  • .ppo
  • .pps
  • .ppt
  • .ppz
  • .ps2
  • .psd
  • .psp
  • .pst
  • .pwa
  • .pwd
  • .pwf
  • .pwl
  • .pwp
  • .pwz
  • .pxl
  • .pyc
  • .pyd
  • .pyw
  • .pza
  • .pzd
  • .pzl
  • .pzo
  • .pzp
  • .pzs
  • .pzt
  • .pzx
  • .qic
  • .qxd
  • .qxl
  • .qxt
  • .raf
  • .ram
  • .rar
  • .ras
  • .rd1
  • .rd3
  • .rwz

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • C:\Program Data
  • C:\Users

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

  • {Encrypted Directory}\IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.HTML


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.800.04
初回 VSAPI パターンリリース日 2019年2月8日
VSAPI OPR パターンバージョン 14.801.00
VSAPI OPR パターンリリース日 2019年2月9日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • {Encrypted Directory}\IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.HTML

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.MSIL.CRYPONY.THBOHAI」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください