Trend Micro Security

Ransom.MSIL.ONYXLOCKER.A

2020年2月10日
 解析者: Joshua Paul Ignacio   
 別名:

TScope.Trojan.MSIL (VBA32), Trojan-Ransom.FileCrypter (IKARUS)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

特定のファイル拡張子を持つファイルを暗号化します。 身代金要求文書のファイルを作成します。

  詳細

ファイルサイズ 18,432 bytes
タイプ EXE
メモリ常駐 なし
発見日 2020年1月27日
ペイロード メッセージボックスの表示, ファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ランサムウェアの不正活動

以下の拡張子を持つファイルを暗号化します:$$ DATA $$

  • .3fr 
  • .7z 
  • .accdb 
  • .ai 
  • .apk 
  • .arch00 
  • .arw 
  • .asp 
  • .aspx 
  • .asset 
  • .avi 
  • .bar 
  • .bat 
  • .bay 
  • .bc6 
  • .bc7 
  • .big 
  • .bik 
  • .bkf 
  • .bkp 
  • .blob 
  • .bsa 
  • .cas 
  • .cdr 
  • .cer 
  • .cfr 
  • .cr2 
  • .crt 
  • .crw 
  • .cs 
  • .css 
  • .csv 
  • .d3dbsp 
  • .das 
  • .dazip 
  • .db0 
  • .dba 
  • .dbf 
  • .dcr 
  • .der 
  • .desc 
  • .divx 
  • .dmp 
  • .dng 
  • .doc 
  • .docm 
  • .docx 
  • .dwg 
  • .dxg 
  • .epk 
  • .eps 
  • .erf 
  • .esm 
  • .exe 
  • .ff 
  • .flv 
  • .forge 
  • .fos 
  • .fpk 
  • .fsh 
  • .gdb 
  • .gho 
  • .hkdb 
  • .hkx 
  • .hplg 
  • .html 
  • .hvpl 
  • .ibank 
  • .icxs 
  • .indd 
  • .index 
  • .itdb 
  • .itl 
  • .itm 
  • .iwd 
  • .iwi 
  • .jpe 
  • .jpeg 
  • .jpg 
  • .js 
  • .kdb 
  • .kdc 
  • .kf 
  • .layout 
  • .lbf 
  • .litemod 
  • .lnk 
  • .lrf 
  • .ltx 
  • .lvl 
  • .m2 
  • .m3u 
  • .m4a 
  • .map 
  • .mcmeta 
  • .mdb 
  • .mdbackup 
  • .mddata 
  • .mdf 
  • .mef 
  • .menu 
  • .mkv 
  • .mlx 
  • .mov 
  • .mp3 
  • .mp4 
  • .mpeg 
  • .mpqge 
  • .mrwref 
  • .ncf 
  • .nrw 
  • .ntl 
  • .odb 
  • .odc 
  • .odm 
  • .odp 
  • .ods 
  • .odt 
  • .ogg 
  • .orf 
  • .p12 
  • .p7b 
  • .p7c 
  • .pak 
  • .pdd 
  • .pdf 
  • .pef 
  • .pem 
  • .pfx 
  • .php 
  • .pk7 
  • .pkpass 
  • .png 
  • .ppt 
  • .pptm 
  • .pptx 
  • .psd 
  • .psk 
  • .pst 
  • .ptx 
  • .py 
  • .qdf 
  • .qic 
  • .r3d 
  • .raf 
  • .rar 
  • .raw 
  • .rb 
  • .re4 
  • .rgss3a 
  • .rim 
  • .rofl 
  • .rtf 
  • .rw2 
  • .rwl 
  • .sav 
  • .sb 
  • .sid 
  • .sidd 
  • .sidn 
  • .sie 
  • .sis 
  • .slm 
  • .sln 
  • .snx 
  • .sql 
  • .sr2 
  • .srf 
  • .srw 
  • .sum 
  • .svg 
  • .syncdb 
  • .t12 
  • .t13 
  • .tax 
  • .tor 
  • .upk 
  • .vcf 
  • .vdf 
  • .vfs0 
  • .vpk 
  • .vpp_pc 
  • .vtf 
  • .w3x 
  • .wallet 
  • .wav 
  • .wb2 
  • .wma 
  • .wmo 
  • .wmv 
  • .wotreplay 
  • .wpd 
  • .wps 
  • .x3f 
  • .xf 
  • .xlk 
  • .xls 
  • .xlsb 
  • .xlsm 
  • .xlsx 
  • .xml 
  • .xxx 
  • .zip
  • .ztmp

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

  • {File Name}.кристина

マルウェアが作成する以下のファイルは、脅迫状です。

  • %User Profile%\Desktop\Read-me!!! 0 .txt
  • %User Profile%\Desktop\Read-me!!! 1 .txt
  • %User Profile%\Desktop\Read-me!!! 2 .txt
  • %User Profile%\Desktop\Read-me!!! 3 .txt
  • %User Profile%\Desktop\Read-me!!! 4 .txt
  • %User Profile%\Desktop\Read-me!!! 5 .txt
  • %User Profile%\Desktop\Read-me!!! 6 .txt
  • %User Profile%\Desktop\Read-me!!! 7 .txt
  • %User Profile%\Desktop\Read-me!!! 8 .txt
  • %User Profile%\Desktop\Read-me!!! 9 .txt
  • %User Profile%\Desktop\Read-me!!! 10 .txt
  • %User Profile%\Desktop\Read-me!!! 11 .txt
  • %User Profile%\Desktop\Read-me!!! 12 .txt
  • %User Profile%\Desktop\Read-me!!! 13 .txt
  • %User Profile%\Desktop\Read-me!!! 14 .txt
  • %User Profile%\Desktop\Read-me!!! 15 .txt
  • %User Profile%\Desktop\Read-me!!! 16 .txt
  • %User Profile%\Desktop\Read-me!!! 17 .txt
  • %User Profile%\Desktop\Read-me!!! 18 .txt
  • %User Profile%\Desktop\Read-me!!! 19 .txt

(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。)

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.670.01
初回 VSAPI パターンリリース日 2020年1月17日
VSAPI OPR パターンバージョン 15.671.00
VSAPI OPR パターンリリース日 2020年1月18日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.Win32.TRX.XXPE50FFF034

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Profile%\Desktop\Read-me!!! 0 .txt
  • %User Profile%\Desktop\Read-me!!! 1 .txt
  • %User Profile%\Desktop\Read-me!!! 2 .txt
  • %User Profile%\Desktop\Read-me!!! 3 .txt
  • %User Profile%\Desktop\Read-me!!! 4 .txt
  • %User Profile%\Desktop\Read-me!!! 5 .txt
  • %User Profile%\Desktop\Read-me!!! 6 .txt
  • %User Profile%\Desktop\Read-me!!! 7 .txt
  • %User Profile%\Desktop\Read-me!!! 8 .txt
  • %User Profile%\Desktop\Read-me!!! 9 .txt
  • %User Profile%\Desktop\Read-me!!! 10 .txt
  • %User Profile%\Desktop\Read-me!!! 11 .txt
  • %User Profile%\Desktop\Read-me!!! 12 .txt
  • %User Profile%\Desktop\Read-me!!! 13 .txt
  • %User Profile%\Desktop\Read-me!!! 14 .txt
  • %User Profile%\Desktop\Read-me!!! 15 .txt
  • %User Profile%\Desktop\Read-me!!! 16 .txt
  • %User Profile%\Desktop\Read-me!!! 17 .txt
  • %User Profile%\Desktop\Read-me!!! 18 .txt
  • %User Profile%\Desktop\Read-me!!! 19 .txt

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.MSIL.ONYXLOCKER.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください