Ransom.MSIL.THANOS.THHAHBB

2022年8月23日

解析者: Eleazar Valles

別名:

Ransom:MSIL/Thanos.MK!MTB (MICROSOFT)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

マルウェアは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うマルウェアのプロセスの終了が実行できなくなります。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 508,416 bytes

タイプ EXE

メモリ常駐はい

発見日 2022年8月16日

ペイロードメッセージボックスの表示, プロセスの強制終了, ファイルの暗号化, ファイルのダウンロード, ファイルの削除

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

cmd.exe /c rd /s /q %SYSTEMDRIVE%\$Recycle.bin
sc.exe config Dnscache start= auto
sc.exe config FDResPub start= auto
sc.exe config SSDPSRV start= auto
sc.exe config upnphost start= auto
sc.exe config SQLTELEMETRY start= disabled
sc.exe config SQLTELEMETRY$ECWDB2 start= disabled
sc.exe config SQLWriter start= disabled
sc.exe config SstpSvc start= disabled
taskkill.exe /IM mspub.exe /F
taskkill.exe /IM mydesktopqos.exe /F
taskkill.exe /IM mydesktopservice.exe /F
taskkill.exe /IM mspub.exe /F
taskkill.exe /IM synctime.exe /F
taskkill.exe /IM steam.exe /F
taskkill.exe /IM encsvc.exe /F
taskkill.exe /IM excel.exe /F
taskkill.exe /IM sqbcoreservice.exe /F
taskkill.exe /IM mysqld.exe /F
taskkill.exe /IM firefoxconfig.exe /F
taskkill.exe /IM Ntrtscan.exe /F
taskkill.exe /IM isqlplussvc.exe /F
taskkill.exe /IM dbeng50.exe /F
taskkill.exe /IM thebat64.exe /F
taskkill.exe /IM ocomm.exe /F
taskkill.exe /IM agntsvc.exe /F
taskkill.exe /IM onenote.exe /F
taskkill.exe /IM PccNTMon.exe /F
taskkill.exe /IM msaccess.exe /F
taskkill.exe /IM outlook.exe /F
taskkill.exe /IM tmlisten.exe /F
taskkill.exe /IM msftesql.exe /F
taskkill.exe /IM powerpnt.exe /F
taskkill.exe /IM thebat.exe /F
taskkill.exe IM thunderbird.exe /F
taskkill.exe /IM dbsnmp.exe /F
taskkill.exe /IM xfssvccon.exe /F
taskkill.exe /IM mydesktopqos.exe /F
taskkill.exe /IM visio.exe /F
taskkill.exe /IM mydesktopservice.exe /F
taskkill.exe /IM winword.exe /F
taskkill.exe /IM wordpad.exe /F
taskkill.exe /IM CNTAoSMgr.exe /F
taskkill.exe /IM infopath.exe /F
taskkill.exe /IM sqlwriter.exe /F
taskkill.exe /IM mysqld-nt.exe /F
taskkill.exe /IM mbamtray.exe /F
taskkill.exe /IM tbirdconfig.exe /F
taskkill.exe /IM mysqld-opt.exe /F
taskkill.exe /IM zoolz.exe /F
taskkill.exe /IM ocautoupds.exe /F
taskkill.exe /IM ocssd.exe /F
taskkill.exe /IM oracle.exe /F
taskkill.exe /IM sqlagent.exe /F
taskkill.exe /IM sqlbrowser.exe /F
taskkill.exe /IM sqlservr.exe /F
added processes for deleting shadowcopies, if not running in Windows XP:
- powershell.exe & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete();}
- vssadmin.exe resize shadowstorage /for=c: /on=c: /maxsize=401MB
- vssadmin.exe resize shadowstorage /for=c: /on=c: /maxsize=unbounded
- vssadmin.exe resize shadowstorage /for=f: /on=f: /maxsize=401MB
- vssadmin.exe resize shadowstorage /for=f: /on=f: /maxsize=unbounded
- vssadmin.exe resize shadowstorage /for=d: /on=d: /maxsize=401MB
- vssadmin.exe resize shadowstorage /for=d: /on=d: /maxsize=unbounded
- vssadmin.exe resize shadowstorage /for=e: /on=e: /maxsize=401MB
- vssadmin.exe resize shadowstorage /for=e: /on=e: /maxsize=unbounded
- vssadmin.exe resize shadowstorage /for=g: /on=g: /maxsize=401MB
- vssadmin.exe resize shadowstorage /for=g: /on=g: /maxsize=unbounded
- vssadmin.exe resize shadowstorage /for=h: /on=h: /maxsize=401MB
- vssadmin.exe resize shadowstorage /for=h: /on=h: /maxsize=unbounded
- vssadmin.exe Delete Shadows /all /quiet
%System%\cmd.exe /C choice /C Y /N /D Y /T 3 & Del {malware path}\{malware name}.exe
%User Temp%\{8 random characters}.exe \{IP address} -u {username} -p {password} -d -h -s -f -accepteula -nobanner -c {original sample filepath}.exe
"cmd.exe" /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 “%s” & Del /f /q “%s”
arp -a
net.exe start Dnscache /y
net.exe start FDResPub /y
net.exe start SSDPSRV /y
net.exe start upnphost /y
net.exe stop avpsus /y
net.exe stop McAfeeDLPAgentService /y
net.exe stop mfewc /y
net.exe stop BMR Boot Service /y
net.exe stop NetBackup BMR MTFTP Service /y
net.exe stop DefWatch /y
net.exe stop ccEvtMgr /y
net.exe stop ccSetMgr /y
net.exe stop SavRoam /y
net.exe stop RTVscan /y
net.exe stop QBFCService /y
net.exe stop QBIDPService /y
net.exe stop Intuit.QuickBooks.FCS /y
net.exe stop QBCFMonitorService /y
net.exe stop YooBackup /y
net.exe stop YooIT /y
net.exe stop zhudongfangyu /y
net.exe stop stc_raw_agent /y
net.exe stop VSNAPVSS /y
net.exe stop VeeamTransportSvc /y
net.exe stop VeeamDeploymentService /y
net.exe stop VeeamNFSSvc /y
net.exe stop veeam /y
net.exe stop PDVFSService /y
net.exe stop BackupExecVSSProvider /y
net.exe stop BackupExecAgentAccelerator /y
net.exe stop BackupExecAgentBrowser /y
net.exe stop BackupExecDiveciMediaService /y
net.exe stop BackupExecJobEngine /y
net.exe stop BackupExecManagementService /y
net.exe stop BackupExecRPCService /y
net.exe stop AcrSch2Svc /y
net.exe stop AcronisAgent /y
net.exe stop CASAD2DWebSvc /y
net.exe stop CAARCUpdateSvc /y
net.exe stop sophos /y
net.exe stop “Acronis VSS Provider” /y
net.exe stop MsDtsServer /y
net.exe stop IISAdmin /y
net.exe stop MSExchangeES /y
net.exe stop “Sophos Agent” /y
net.exe stop EraserSvc11710 /y
net.exe stop “Enterprise Client Service” /y
net.exe stop “SQL Backups /y
net.exe stop MsDtsServer100 /y
net.exe stop NetMsmqActivator /y
net.exe stop MSExchangeIS /y
net.exe stop “Sophos AutoUpdate Service” /y
net.exe stop SamSs /y
net.exe stop ReportServer /y
net.exe stop “SQLsafe Backup Service” /y
net.exe stop MsDtsServer110 /y
net.exe stop POP3Svc /y
net.exe stop MSExchangeMGMT /y
net.exe stop “Sophos Clean Service” /y
net.exe stop SMTPSvc /y
net.exe stop ReportServer$SQL_2008 /y
net.exe stop “SQLsafe Filter Service” /y
net.exe stop msftesql$PROD /y
net.exe stop SstpSvc /y
net.exe stop MSExchangeMTA /y
net.exe stop “Sophos Device Control Service” /y
net.exe stop ReportServer$SYSTEM_BGC /y
net.exe stop “Symantec System Recovery” /y
net.exe stop MSOLAP$SQL_2008 /y
net.exe stop UI0Detect /y
net.exe stop MSExchangeSA /y
net.exe stop “Sophos File Scanner Service” /y
net.exe stop ReportServer$TPS /y
net.exe stop “Veeam Backup Catalog Data Service” /y
net.exe stop MSOLAP$SYSTEM_BGC /y
net.exe stop W3Svc /y
net.exe stop MSExchangeSRS /y
net.exe stop “Sophos Health Service” /y
net.exe stop ReportServer$TPSAMA /y
net.exe net.exe stop “Zoolz 2 Service” /y
net.exe stop MSOLAP$TPS /y
net.exe stop “aphidmonitorservice” /y
net.exe stop msexchangeadtopology /y
net.exe stop “Sophos MCS Agent” /y
net.exe stop AcrSch2Svc /y
net.exe stop MSOLAP$TPSAMA /y
net.exe stop “intel(r) proset monitoring service” /y
net.exe stop msexchangeimap4 /y
net.exe stop “Sophos MCS Client” /y
net.exe stop ARSM /y
net.exe stop MSSQL$BKUPEXEC /y
net.exe stop unistoresvc_1af40a /y
net.exe stop “Sophos Message Router” /y
net.exe stop BackupExecAgentAccelerator /y
net.exe stop MSSQL$ECWDB2 /y
net.exe stop audioendpointbuilder /y
net.exe stop “Sophos Safestore Service” /y
net.exe stop BackupExecAgentBrowser /y
net.exe stop MSSQL$PRACTICEMGT /y
net.exe stop “Sophos System Protection Service” /y
net.exe stop BackupExecDeviceMediaService /y
net.exe stop MSSQL$PRACTTICEBGC /y
net.exe stop “Sophos Web Control Service” /y
net.exe stop BackupExecJobEngine /y
net.exe stop MSSQL$PROD /y
net.exe stop AcronisAgent /y
net.exe stop BackupExecManagementService /y
net.exe stop MSSQL$PROFXENGAGEMENT /y
net.exe stop Antivirus /y
net.exe stop BackupExecRPCService /y
net.exe stop MSSQL$SBSMONITORING /
net.exe stop MSSQL$SBSMONITORING /y
net.exe stop AVP /y
net.exe stop BackupExecVSSProvider /y
net.exe stop MSSQL$SHAREPOINT /y
net.exe stop DCAgent /y
net.exe stop bedbg /y
net.exe stop MSSQL$SQL_2008 /y
net.exe stop EhttpSrv /y
net.exe stop MMS /y
net.exe stop MSSQL$SQLEXPRESS /y
net.exe stop ekrn /y
net.exe stop mozyprobackup /y
net.exe stop MSSQL$SYSTEM_BGC /y
net.exe stop EPSecurityService /y
net.exe stop MSSQL$VEEAMSQL2008R2 /y
net.exe stop MSSQL$TPS /y
net.exe stop EPUpdateService /y
net.exe stop ntrtscan /y
net.exe stop MSSQL$TPSAMA /y
net.exe stop EsgShKernel /y
net.exe stop PDVFSService /y
net.exe stop MSSQL$VEEAMSQL2008R2 /y
net.exe stop ESHASRV /y
net.exe stop SDRSVC /y
net.exe stop MSSQL$VEEAMSQL2012 /y
net.exe stop FA_Scheduler /y
net.exe stop SQLAgent$VEEAMSQL2008R2 /y
net.exe stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net.exe stop KAVFS /y
net.exe stop SQLWriter /y
net.exe stop MSSQLFDLauncher$SBSMONITORING /y
net.exe stop KAVFSGT /y
net.exe stop VeeamBackupSvc /y
net.exe stop MSSQLFDLauncher$SHAREPOINT /y
net.exe stop kavfsslp /y
net.exe stop VeeamBrokerSvc /y
net.exe stop MSSQLFDLauncher$SQL_2008 /y
net.exe stop klnagent /y
net.exe stop VeeamCatalogSvc /y
net.exe stop MSSQLFDLauncher$SYSTEM_BGC /y
net.exe stop macmnsvc /y
net.exe stop VeeamCloudSvc /y
net.exe stop MSSQLFDLauncher$TPS /y
net.exe stop masvc /y
net.exe stop VeeamDeploymentService /y
net.exe stop MSSQLFDLauncher$TPSAMA /y
net.exe stop MBAMService /y
net.exe stop VeeamDeploySvc /y
net.exe stop MSSQLSERVER /y
net.exe stop MBEndpointAgent /y
net.exe stop VeeamEnterpriseManagerSvc /y
net.exe stop MSSQLServerADHelper /y
net.exe stop McAfeeEngineService /y
net.exe stop VeeamHvIntegrationSvc /y
net.exe stop MSSQLServerADHelper100 /y
net.exe stop McAfeeFramework /y
net.exe stop VeeamMountSvc /y
net.exe stop MSSQLServerOLAPService /y
net.exe stop McAfeeFrameworkMcAfeeFramework /y
net.exe stop VeeamNFSSvc /y
net.exe stop MySQL57 /y
net.exe stop McShield /y
net.exe stop VeeamRESTSvc /y
net.exe stop MySQL80 /y
net.exe stop McTaskManager /y
net.exe stop VeeamTransportSvc /y
net.exe stop OracleClientCache80 /y
net.exe stop mfefire /y
net.exe stop wbengine /y
net.exe stop ReportServer$SQL_2008 /y
net.exe stop mfemms /y
net.exe stop wbengine /y
net.exe stop RESvc /y
net.exe stop mfevtp /y
net.exe stop sms_site_sql_backup /y
net.exe stop SQLAgent$BKUPEXEC /y
net.exe stop MSSQL$SOPHOS /y
net.exe stop SQLAgent$CITRIX_METAFRAME /y
net.exe stop sacsvr /y
net.exe stop SQLAgent$CXDB /y
net.exe stop SAVAdminService /y
net.exe stop SQLAgent$ECWDB2 /y
net.exe stop SAVService /y
net.exe stop SQLAgent$PRACTTICEBGC /y
net.exe stop SepMasterService /y
net.exe stop SQLAgent$PRACTTICEMGT /y
net.exe stop ShMonitor /y
net.exe stop SQLAgent$PROD /y
net.exe stop Smcinst /y
net.exe stop SQLAgent$PROFXENGAGEMENT /y
net.exe stop SmcService /y
net.exe stop SQLAgent$SBSMONITORING /y
net.exe stop SntpService /y
net.exe stop SQLAgent$SHAREPOINT /y
net.exe stop sophossps /y
net.exe stop SQLAgent$SQL_2008 /y
net.exe stop SQLAgent$SOPHOS /y
net.exe stop SQLAgent$SQLEXPRESS /y
net.exe stop svcGenericHost /y
net.exe stop SQLAgent$SYSTEM_BGC /y
net.exe stop swi_filter /y
net.exe stop SQLAgent$TPS /y
net.exe stop swi_service /y
net.exe stop SQLAgent$TPSAMA /y
net.exe stop swi_update /y
net.exe stop SQLAgent$VEEAMSQL2008R2 /y
net.exe stop swi_update_64 /y
net.exe stop SQLAgent$VEEAMSQL2012 /y
net.exe stop TmCCSF /y
net.exe stop SQLBrowser /y
net.exe stop tmlisten /y
net.exe stop SQLSafeOLRService /y
net.exe stop TrueKey /y
net.exe stop SQLSERVERAGENT /y
net.exe stop TrueKeyScheduler /y
net.exe stop SQLTELEMETRY /y
net.exe stop TrueKeyServiceHelper /y
net.exe stop SQLTELEMETRY$ECWDB2 /y
net.exe stop WRSVC /y
net.exe stop mssql$vim_sqlexp /y
net.exe stop vapiendpoint /y
del.exe /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
del.exe /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
del.exe /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
del.exe /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
del.exe /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
del.exe /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
netsh advfirewall firewall set rule group=\Network Discovery\ new enable=Yes
netsh advfirewall firewall set rule group=File and Printer Sharing new enable=Yes

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Global\fbcb46fd-6c46-42e2-948e-b83951875b03

マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

http analyzer stand-alone
fiddler
effetech http sniffer
firesheep
IEWatch Professional
dumpcap
wireshark
wireshark portable
sysinternals tcpview
NetworkMiner
NetworkTrafficView
HTTPNetworkSniffer
tcpdump
intercepter
Intercepter-NG
ollydbg
x64dbg
x32dbg
dnspy
dnspy-x86
de4dot
ilspy
dotpeek
dotpeek64
ida64
RDG Packer Detector
CFF Explorer
PEiD
protection_id
LordPE
pe-sieve
MegaDumper
UnConfuserEx
Universal_Fixer
NoFuserEx
cheatengine
NetworkMiner
NetworkTrafficView
HTTPNetworkSniffer
tcpdump
intercepter
Intercepter-NG

他のシステム変更

マルウェアは、以下のファイルを削除します。

{Original filename of Encrypted file}:Zone.Identifier
{Malware Path}\Config.enc

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\KEYID\
myKeyID
ID1 = {Random characters}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
LocalAccountTokenFilterPolicy = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Attention Attention Attention!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticetext = Did you get in trouble? Email our IT professionals and provide you with a solution! email - {BLOCKED}ort831@reddithub.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
LegalNoticeCaption = Attention Attention Attention!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
LegalNoticeText = Did you get in trouble? Email our IT professionals and provide you with a solution! email - {BLOCKED}ort831@reddithub.com

マルウェアは、以下のレジストリ値を追加し、タスクマネージャを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

http analyzer stand-alone
fiddler
effetech http sniffer
firesheep
IEWatch Professional
dumpcap
wireshark
wireshark portable
sysinternals tcpview
NetworkMiner
NetworkTrafficView
HTTPNetworkSniffer
tcpdump
intercepter
Intercepter-NG
ollydbg
x64dbg
x32dbg
dnspy
dnspy-x86
de4dot
ilspy
dotpeek
dotpeek64
ida64
RDG Packer Detector
CFF Explorer
PEiD
protection_id
LordPE
pe-sieve
MegaDumper
UnConfuserEx
Universal_Fixer
NoFuserEx
cheatengine
NetworkMiner
NetworkTrafficView
HTTPNetworkSniffer
tcpdump
intercepter
Intercepter-NG

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\SOFTWARE\KEYID

HKEY_CURRENT_USER\SOFTWARE\KEYID\
myKeyID

マルウェアは、以下の拡張子をもつファイルを暗号化します。

db
dbf
accdb
dbx
mdb
mdf
epf
ndf
ldf
1cd
sdf
nsf
fp7
cat
log
$$$
$db
$efs
$er
{pb
~cw
~hm
0
000
001
1
101
103
108
110
113
123
128
17t
1CD
1pe
1ph
1sp
1st
2
2mg
2Q0
2QM
3
3d
3d4
3dd
3df
3df8
3dm
3dmdef
3dp
3dr
3ds
3dt
3dw
3dxml
3fr
3g2
3ga
3gp
3gp2
3me
3MF
3mm
3pe
3pr
3w
4dd
4dl
4dv
4fs
4w7
5vw
602
73b
73c
73l
7z
7z001
7z002
7zip
8
86f
89t
89y
8ba
8bc
8be
8bf
8bi8
8bl
8bs
8bx
8by
8li
8svx
8xg
8xk
8xs
8xt
8xv
9xt
9xy
a$v
a00
a01
a02
a2c
a5l
a5w
a65
aa
aa3
aac
aaf
aah
aam
aao
aaui
ab
ab1
ab3
ab4
ab65
aba
abbu
abc
abcd
abf
abi
abk
abkprj
abp
abt
abw
aby
ac2
ac3
ac5
aca
acc
accdc
accde
accdr
accdt
accft
ACCTB
ace
acf
acg
ach
ACL
acp
acq
acr
acrobatsecuritysettings
acrodata
acroplugin
acrypt
act
acz
ad
ada
adb
adc
adcp
add
addism
ade
adf
adi
adif
adoc
ados
adox
adp
adpb
adr
ads
adt
adu
adv
advs
adx
adz
aea
aec
aep
aepx
aes
aet
afd
afdesign
afe
aff
afi
afm
afp
aft
agd
agd1
agdl
age3rec
age3sav
age3scn
age3xrec
age3xsav
age3xscn
age3yrec
age3ysav
age3yscn
aggr
ahf
ai
aif
aifb
aiff
aim
ain
AIO
aip
ais
ait
ak
al
al8
ala
alb3
alb4
alb5
alb6
alc
ald
aldf
alf
ali
allet
alt3
alt5
alz
AM
amb
amc
amf
aml
amm
amr
amsorm
amt
amu
amx
amxx
an1
an8
anime
anl
anme
ann
ans
ansr
ansym
anx
aoi
ap
apa
apalbum
apd
ape
apf
aph
api
apj
apk
aplibrary
apnx
apo
app
APPCACHE
approj
APPX
apr
apt
apw
apxl
apz
ar
arc
arch00
archiver
arduboy
arff
ari
arj
arn
aro
arr
ars
art
arw
as
as$
as3
asa
asc
ascm
ascx
asd
ase
asf
ashbak
ashdisc
ashprj
ashx
ask
asl
asm
asmx
asn
asnd
asp
aspx
asr
asset
ast
asv
asvx
asx
atf
ath
atl
atomsvc
atr
ats
atw
automaticdestinations-ms
aux
av
avc
avhd
avhdx
avj
avl
avn
avp
avs
AW
awb
awbr
awd
awdb
awe
awg
awp
aws
awt
aww
awwp
ax
azf
azs
azw
azw1
azw3
azw4
azz
azzx
b
b1
b27
b2a
b5i
b5t
b64
b6i
b6t
b6z
ba
ba6
ba7
ba8
ba9
bac
back
backup
backupdb
bad
bafl
bak
bak~
bak2
bak3
bakx
bamboopaper
bank
bar
baserproj
bau
bax
bay
bbb
bbcd
bbl
bbprojectd
bbs
bbxt
bbz
bc
bc5
bc6
bc7
bcc
bcd
bci
bck
bckp
bcl
bcm
bcp
bct
bdb
bdb2
bdc
bdf
bdic
bdoc
bdp
bdr
bdt2
bdt3
bean
bed
bfa
bff
bfx
bgl
bgt
bgv
bh
bho
bi8
bib
bibtex
bic
bif
bifx
big
bik
bil
bim
bin
bina
binary
bionix
BIT
bizdocument
bjl
bjo
bk
bk!
bk1
bk2
bk3
bk4
bk5
bk6
bk7
bk8
bk9
bkc
bkf
bkg
bkp
bks
bkup
bkz
blb
bld
blend
blend1
blend2
blg
blk
blm
bln
blob
blockplt
blogthis
blp
bluebutton
bm2
bm3
bmc
bmf
bmk
bml
bmm
bmml
bmpr
bms
bna
bndl
bnk
boc
bok
boo
book
bookexport
bop
box
bp1
bp2
bp3
bpa
bpb
bpd
bpdx
bpf
bphys
bpj
bpk
bpl
bplx
bpm
bpmc
bpn
bps
bpw
brain
brd
breaking_bad
brf
brh
brl
brn
BROWSER
brs
brw
brx
bsa
bsd
bsdl
bsk
bso
bsp
bst
btd
btf
btif
btinstall
BTL
btm
btoa
btr
btx
BUD
bul
bundle
bup
burn
burntheme
bvd
bvp
bwa
bwd
bwf
bwi
bwp
bws
bwt
bwz
BXF
bxx
bz
bz2
bza
bzabw
bzip
bzip2
c
c00
c01
c02
c10
c2e
c3d
c4p
c6
cadoc
cae
caf
cag
calca
cam
camm
camproj
cap
capt
capx
car
caro
cas
catproduct
cav
cawr
cb7
cba
cbf
cbg
cbmap
cbor
cbr
cbs
cbt
cbu
cbz
cc
cca
ccc
ccd
ccf
cch
ccitt
ccld
ccp
cct
cd
cd1
cd2
cdb
cdc
cdd
cddz
cdf
cdi
cdk
cdl
cdm
cdml
cdmm
cdmz
cdp
cdpz
cdr
cdr3
cdr4
cdr5
cdr6
cdrw
cds
cdt
cdtx
cdx
cdxml
ce1
ce2
cef
cel
celtx
cenon~
cer
cert
cf
cf5
cfa
cfb
cfd
cfg
cfp
cfr
cfs
cfx
cgf
cgfiletypetest
cgi
cgm
cgp
chg
chi
chk
chm
chml
chmprj
chp
chpscrap
CHR
cht
chtml
cib
cida
cif
cipo
circ
ciso
civ4worldbuildersave
civbeyondswordsave
ck9
ckp
ckt
cl2
cl2arc
cl2doc
cl5
clam
clarify
class
classlist
clb
cld
clg
clix
clk
clkd
clkm
clks
clkt
clktk
clkv
clm
clp
clr
cls
clx
cm10
cm5
cma
cmap
CMB
cmbl
cmf
cml
cmp
cmr
cms
cmt
cmu
cna
cnf
cng
cnt
cnv
cod
col
collab
comicdoc
comiclife
COMMENTS
compositionmodel
compositiontemplate
con
conf
config
contact
converterx
cp
cp9
CPA
cpaa
cpc
cpd
cpdt
cpf
cpgz
cphd
cpi
cpio
cpk
cpmz
cpp
cpt
cptx
cpy
cr2
cram
crashed
craw
crb
crd
crds
creole
crev
cri
crjoker
crs
crs3
crt
crtr
crtx
crw
crwl
cry
crypt
crypt12
crypt8
crypt9
crypted
cryptowall
cryptra
cs
cs8
csa
csd
cse
CSG
csh
csi
csl
csm
cso
csp
csr
css
cst
csv
ctb
ctbl
ctd
cte
ctf
CTG
ctl
ctm
ctp
ctproject
ctt
ctv
ctv3
ctx
ctxt
cty
cub
cube
cue
current
cursorfx
curxptheme
cva
cvd
cvj
cvl
cvn
cvw
cw3
cwf
cwk
cwn
cwr
cws
cww
cwwp
cxa
cxarchive
cxd
cxf
cxr
cxt
cyi
cyo
cys
czi
czip
czp
d
d00
d01
d3dbsp
d64
d88
da0
da2
daa
dac
dacpac
dad
dadiagrams
dadx
daf
dag
dal
dam
dao
dap
dar
das
daschema
dash
dat
DATA
database
datx
dax
dayzprofile
dazip
db_journal
db0
db3
dba
dbb
dbc
dbcrypt12
dbcrypt8
dbd
DBF
dbfv
dbgsym
db-journal
dbk
dbr
dbs
db-shm
dbt
dbv
db-wal
dc2
dc4
dca
dcb
dcd
dcf
dch
dcl
dcm
dcmd
dcmf
dco
dcp
dcpf
dcpr
dcr
dcs
dct
dct5
dcu
dcx
dd
ddb
ddc
ddcx
ddd
ddf
ddif
ddl
ddoc
ddrw
dds
ddt
deb
debian
dec
ded
def
default
del
dem
DEP
deproj
der
des
desc
description
design
desklink
det
deu
dev
develve
deviceinfo
dex
dfe
dfl
dfm
dfproj
dft
dfti
dgc
dgm
DGML
dgpd
dgr
dgrh
dgs
dhcd
dhe
dia
dic
dict
did
dif
dig
dii
dim
dime
dip
dir
directory
disc
disco
disk
dist
dit
dita
ditamap
ditaval
divx
diz
djbz
djv
djvu
dk@p
dkt
dl
dl_
dlc
dlg
dlis
dlt
dltemp
dm2
dmbk
dmc
dmg
dmgpart
dmm
dmmx
dmo
dmp
dmpr
dmr
dms
dmsp
dmtemplate
dmv
dna
dng
dnl
dob
doc
doc#
docb
doce
docenx
dochtml
dockzip
docl
docm
docmhtml
docs
docset
docstates
doct
documentrevisions-v100
docx
docxl
docxml
dok
dot
dothtml
dotm
dotmenx
dotx
dotxenx
dox
doxy
doz
dp
dp1
dpb
DPC
dpd
dpi
dpk
dpl
dpn
dpr
dps
dpt
dpx
dqy
dr
drd
dream
drf
drl
drm
drmx
drmz
drscan
drw
dsb
dsc
dsd
dsdic
dsf
dsg
dsk
dsl
dsn
dsp
dss
dsx
dsy
dsz
dt
dta
dtd
dtm
dtml
dtp
dtr
dtsx
dtx
dump
dupeguru
dvb
dvc
dvd
dvdproj
dvds
dvi
dvo
dvs
dvx
dvz
dwd
dwdoc
dwf
dwfx
dwg
dwi
dwlibrary
dwp
dws
dwt
dxb
dxd
dxe
dxf
dxg
dxl
dxn
dxp
dxr
dxstudio
dz
dzp
e01
e2p
e3s
e4a
eap
eas
easmx
ebk
ebm
ebs
ebuild
ec0
ec3
ec4
ecc
ecl
ecm
eco
ecr
ecs
ecsbx
ect
ecx
eda
edat
edat2
edb
edd
ede
edf
edfx
edg
edi
edk
edl
edml
edn
edoc
edq
edrwx
eds
edt
edv
edz
eep
ef
efa
efax
eff
efl
efm
efp
efr
eftx
efu
efw
efx
egg
eglib
egp
egr
egt
ehp
eif
eip
ekb
ekm
el6
eld
elf
elfo
eln
els
em
emb
embl
emc
emd
emf
eml
emlxpart
emm
emrg
emrg2
enc
enciphered
encrypted
enex
enfpack
enl
enlx
enq
ent
env
enw
enx
enyd
eob
eot
ep
epdf
EPF
epi
epim
epk
epp
eprtx
eps
epsf
ept
epub
epw
eql
er1
erbsql
erd
ere
erf
erg
erp
err
ersx
es
es2
es3
esb
esc
esd
ese
esf
esm
esp
esq
ess
est
esv
esx
et
ete
etng
etnt
ets
ett
etx
euc
eui
ev
EV1
EV2
EV3
ev3p
ev3s
evo
evx
evy
ewl
ews
ex
ex01
exb
exc
exd
exf
exif
exl
exm
exp
exprwdhtml
exprwdxml
exx
ez
ezc
ezm
ezs
ezz
f
f04
f06
f3z
f4v
f90
f96
fa
fac
fadein
fae
familyfile
faq
far
fas
fasta
fax
fbc
fbd
fbf
fbk
fbp6
fbq
fbs
fbu
fbw
fcd
fcf
fcpbundle
fcpevent
fcpproject
fcpxdest
fcpxml
fcs
fcstd
fct
fd
fdb
fdd
fdf
fdi
fdm
fdoc
fdp
fdr
fds
fdseq
fdt
fdw
fdx
FE
fed
feed-ms
feedsdb-ms
fes
ff
ffa
ffd
ffdata
fff
ffindex
ffl
ffo
fft
ffwp
ffx
fg3
fh
fhc
fhd
fhf
fic
fid
fig
fil
fin
fingnet
fl
fla
flac
flag
flam3
flame
flat
flf
flg
flib
flipchart
flk
flka
flkb
fll
flm
flo
flow
flp
fls
flt
fltr
flv
flvv
flwa
fly
fm
fm3
fmat
fmc
fmd
fmf
fml
fmp
fmp12
fmp3
fmpsl
fmt
fnbk
fnf
fnm
fnrecipes
fo
fob
fodg
fodp
fods
fodt
fol
folio
folx
fop
for
forge
fos
fountain
fox
fp
fp3
fp4
fp5
fp8
fpa
fpage
fpdoclib
fpenc
fphomeop
fpk
fplinkbar
fpp
fpr
fpsl
fpsx
fpt
fpx
fqc
fra
frag
frameset
frd
frdat
frdoc
freepp
frelf
frl
frm
fro
fs
fsa
fsc
fsd
fsf
fsh
fsif
fsp
fss
fstab
ft10
ft11
ft7
ft8
ft9
ftil
ftl
ftm
ftmb
ftr
ftw
ful
fwbackup
fwdict
fwk
fwtemplate
FX
fxd
fxf
fxg
fxo
fxp
fxr
fza
fzb
fzbz
fzh
fzip
fzpz
g1m
g3m
g41
ga3
gadgeprj
gal
gallery
gam
gan
gar
gb
gb1
gb2
gbi
gbk
gbl
gbo
gbp
gbr
gbs
gc
gca
gcd
gcg
gcproj
gcsx
gct
gcw
gcx
gd3
gdb
gdbtable
gdc
gdf
GDL
gdoc
gdrive
gdt
gdtb
ged
gedata
gedcom
gen
genbank
geo
gev
gevl
gexf
gfe
gfi
gform
gfs
gfx
ggb
ghe
gho
ghs
gi
gil
gis
giw
gkh
gla
gld
glink
glk
glo
glos
gls
gly
gmap
gmbl
gml
gmp
gms
gmz
gnd
gno
gnp
gnutar
gofin
gp3
gp4
gpd
gpf
gpg
gpi
gpj
gpn
gpp
gpr
gpscan
gpx
gpz
gra
grade
graphml
graphmlz
gray
grd
grdb
grey
grf
grib
grib2
grind
grindx
grk
grle
groups
grp
grr
grs
grt
grv
GRXML
gry
gs
gsa
gs-bck
gsf
gsheet
gslides
gsm
GTA
gtable
gtar
gthr
gtl
gtm
gto
gtp
gts
gui
guides
gul
gvi
gwi
gwk
gwp
gxk
gxl
gxt
gz
gz2
gza
gzi
gzig
gzip
h
h10
h11
h12
h13
h14
h15
h16
h17
h1q
h1s
h1w
h2o
h2w
h3m
h4
h4r
h5
h6x
h77t
haas
hal
haml
hbk
hbl
hbx
hc
hcc
hce
hci
hcl
HCP
hcr
hcu
hcw
hcx
hcxs
hda
hdb
hdd
hdf
hdi
hdl
hdpmx
hds
hdt
hdumx
hdx
hed
help
helpindex
HEQ
hex
hfd
hfs
hft
hfv
hhs
hif
hin
his
hjt
hkdb
HKF
hkx
hl
hlf
hlp
hlx
hlx2
hlz
hm2
hm3
hml
hmskin
hmt
hmxp
hmxz
hnd
hoi4
hol
hot
hp2
hpd
hpj
hplg
hpo
hpp
hps
hpt
hpw
hqx
hrx
hs
hs2
hsdt
hsk
hsm
hst
hsx
hta
htb
htg
htm
htm~
html
htmls
htmlz
htms
htpasswd
htz5
huh
hvc
HVE
hvpl
hw3
hwp
hwpml
hwt
hxe
hxi
HXL
HXN
hxq
hxr
hxs
HXX
hyp
hype
hyv
i00
i01
i02
i5z
iab
iaf
ial
ias
ib
iba
ibadr
ibank
ibb
ibcd
ibd
ibdat
ibg
ibk
ibp
ibq
ibz
icalevent
icaltodo
icbu
icc
icf
icg
ichat
icml
icmt
ico
icr
ics
icst
icxs
id2
id3tag
idap
idb
idc
idd
idl
idml
idp
idx
ie5
ie6
ie7
ie8
ie9
ies
ifaith
iff
ifiction
ifm
ifp
ifs
igc
igg
igma
ign
igq
igr
ihf
ihp
ihx
ii
iif
iiq
iks
ila
ildoc
ilg
ilogicvb
ima
image
imd
img
imp
imr
imt
imz
in
INBOX
INC
incp
incpas
ind
indb
indd
INDEX
indl
indp
indt
inf
info
ink
inld
inlk
inp
inprogress
inrs
ins
inss
installhelper
insx
internetconnect
inx
ioca
iof
ip
ipa
ipalias
ipd
ipf
iphoto
iplb
ipmeta
ipr
iproject
iq4
iqmol
irock
irp
irr
irx
is1
is2
isf
ish1
ish2
ish3
iso
ispc
ispx
ist
isu
isz
itdb
ite
itl
itlp
itm
itmsp
itmz
itn
itp
its
itw
itx
iup
iv2i
ivc
ivd
ivs
ivt
iw
iw44
iwa
iwd
iwi
iwm
iwprj
iwtpl
iwxdata
ix
ix2
ixa
ixb
ixv
j01
jac
jar
jasper
jav
java
jb2
jbc
jbi
jbig
jbig2
jbk
jbr
jc
jclic
JCP
jdat
jdb
jdc
jdd
jef
jet
jfif
JFM
jgcscs
jge
jgz
jhd
jiaf
jias
jif
jiff
jmp
jnb
jnt
joboptions
joe
joined
jp1
jpa
jpc
jpe
jpeg
jpf
jpg
jpgx
jph
jpm
jps
jpw
jrf
jrl
jrprint
JRS
jrxml
js
JS1
jsd
jsda
json
jsp
jspa
jspx
jtbackup
jtd
jtdc
jtt
JTX
jude
just
jw
jwl
jww
k25
k3b
kal
kap
kb2
kbd
kbf
kbits
kbs
kc2
kdb
kdbx
kdc
kde
kdf
kdz
keb
kelgfile
kes
kexi
kexic
kexis
key
keychain
keynote
keytab
key-tef
kf
kfm
kfp
kgtemp
kid
kismac
klq
klw
kma
kms
kmy
kmz
kno
knt
kos
kpdx
kpf
kpp
kpr
kpx
kpz
krc
ksd
ksm
ksp
kss
ksw
kth
kuip
kvtml
kwd
kwm
kwp
l
l01
l3dw
l6t
la
label
laccdb
las
lastlogin
lat
latex
lav
lax
lay
lay6
layout
lbf
lbi
lbl
lbx
lcb
lcd
lcf
LCK
lcm
lcn
ld2
ldabak
ldb
ldif
lef
lev
lex
lfe
lfp
lg1
lg2
lgc
lgf
lgh
lgi
lgl
lgp
lhd
lhr
lib
lib4d
lif
life
lin
list
lit
litemod
livereg
liveupdate
lix
LKG
ll3
llb
llv
llx
LM
lmd
lmf
lms
lmx
lng
lngttarch2
lnt
lnx
LO_
loc
localstorage
LOG1
logonxp
lok
lot
lp
lp2
lp7
lpa
lpc
lpd
lpdb
lpdf
lpk
lpkg
lpmd
lpp
lpx
lqm
lrcat
lrdata
lrf
lrlib
lrlibrary
lrm
lrtoolkit
ls3
ls5
lsa
lsd
lsf
lsl
lsp
lsr
lst
lsu
ltcx
ltm
ltr
LTS
ltx
lua
lud
lut
lutx
lvd
lvivt
lvl
lvm
lvw
lw4
lwd
lwo
lwp
lwx
lx01
lxf
lxk
ly
lyt
lyx
m
m13
m14
m2
m2ts
m3u
m3u8
m4a
m4p
m4u
m4v
m7p
maca
maf
mag
mai
maker
maml
man
manu
map
mapimail
MAPSTYLE
maq
mar
marc
markdn
mars
marshal
mas
mass
mat
mav
max
maxfr
maxm
mba
mbbk
mbd
mbf
mbg
mbi
mbox
mbp
mbx
mc1
mc9
mcat
mcd
mcdx
mcf
mcgame
mcmac
mcmeta
mcp
mcrp
mcw
mcx
md
md0
md1
md2
md3
md5
md8
mdbackup
mdbhtml
mdc
mdccache
mdd
mddata
mdg
mdi
mdinfo
mdj
mdk
mdl
mdm
mdn
mds
mdsx
MDT
mdx
MDZ
mecontact
med
mef
meg
mega
meh
mell
mellel
mem
menc
menu
meo
merlin2
met
METADATA
metadata_never_index
mex
mf
mf4
mfa
mfe
mfl
mfo
mfp
mft
mfu
mfv
mfw
mga
mgmt
mgourmet
mgourmet3
mgourmet4
mhp
mht
mhtenx
mhtmlenx
mi
mic
mid
mif
mim
mime
mindnode
miniso
mip
mission
mix
mjd
mjdoc
mjk
mkd
mke
mkv
mla
mlb
mlc
mlj
mlm
mls
mlsxml
mlx
mm
mm6
mm7
mm8
mmap
mmc
mmd
mme
mmf
mmjs
mml
mmm
mmo
mmp
mmsw
mmw
mnc
mng
MNI
mnk
mno
mny
mo
mobi
mod
MODEL
MOF
moho
mol
money
moneywell
mos
mosaic
mov
movie
mox
moz
mp1
mp2
mp4v
mpa
mpd
mpe
mpeg
mpf
mpg
mph
mpj
mpkt
mpp
mppz
mpq
mpqge
mpr
mps
mpt
mpv
mpv2
mpx
mpz
mrd
mrg
mrimg
mru
mrw
mrwref
ms
ms10
msb
msc
msct
msd
mse
msf
msg
mshc
msie
msim
msl
mso
msor
msp
msq
mss
ms-tnef
msw
mswd
mtdd
mte
mtf
mtff
mth
MTL
mtm
mtml
mto
mtp
mts
mtw
mtx
mtxt
mud
mug
mui
mum
mup
mvd
mvdx
mvex
mvm
mw
mwb
mwd
mwf
mwii
mwpd
mwpp
mws
mwx
mx
mxad
mxc2
mxd
mxg
mxi
mxl
mxp
myd
mydocs
myi
myo
mz
n3
nam
names
nap
narrative
nas
nav
navmap
nb
nb7
nba
nbak
nbd
nbe
nbf
nbi
nbk
nbp
nbs
nbu
nc
ncd
ncf
nco
ncorx
nct
nd
nda
ndb
ndd
ndif
ndk
ndl
ndr
nds
ndx
ne1
ne3
nef
nessus
net
neta
netspd
netspm
NEW
nfb
nfc
nfi
nfl
nfo
nfs
nfs11save
ng
NGR
nitf
njx
nk2
nl
nlogo
nlogo3d
NLP
NLT
nma
nmbtemplate
nmea
nmind
nmm
nmp
nmu
nn
nni
NNM
nnp
nnt
nokogiri
nop
not
note
notebook
now
noy
np
npd
npdf
npf
npl
npp
npr
nps
npt
npy
nrb
nrbak
nrc
nrd
nrf
nrg
nri
nrl
nrm
nrmlib
nrs
nrt
nru
nrw
nrx
ns2
ns3
ns4
nsd
nsg
nsh
nsq
nsr
nst
nt
ntf
ntl
ntp
nts
ntx
NU2
number
numbers
nupkg
NUS
NUSPEC
nv
nv2
nvd
nvdl
nvl
nvm
nvram
nwb
nwbak
nwcab
nwcp
nwdb
nwelicense
nwo
nwp
nws
nx^d
nx__
nx1
nx2
nxl
nyf
oa2
oa3
oab
oad
oas
obb
OBD
OBE
obj
obk
obr
obt
obx
obz
occ
ocdc
ocimf
ocs
od
oda
odb
odc
odccubefile
odf
odg
odh
odi
odif
odm
odo
odp
ods
odt
odt#
odttf
odx
odz
oeaccount
oeb
oem
ofc
officeui
ofm
ofn
oft
ofx
oga
ogc
ogg
oggu
ogm
ogmu
ogs
oil
ojz
okm
old
ole
ole2
olf
olk
olk14event
olk14group
olk14note
olk14task
oll
olm
olt
olv
oly
omcs
omg
omlog
omp
onb
ond
one
onepkg
ont
ontx
oo3
oos
oot
op
op2
op4
opal
opax
opd
opf
opj
opju
oplx
opn
opt
opx
opxs
oqy
or2
or3
or4
or5
or6
ora
orf
org
ori
orig
ORP
ort
orx
osd
osdx
ost
osz
ot
otc
otf
otg
oth
oti
otl
otln
otn
otp
ots
ott
otw
otx
out
ova
ovd
ovf
ovolog
ovx
owc
owl
owx
oxps
oxt
oyx
p01
p10
p12
p2g
p2i
p2s
p3
p3x
p65
p7b
p7c
p7x
p7z
p96
p97
pab
pack
pad
paf
pages
pages-tef
pak
pan
paq
partimg
pas
pat
paux
paw
pbd
pbf
pbix
pbj
PBK
pbp
pbr
pbs
pbx5script
pbxscript
pc
pcap
pcapng
pcb
pcc
pcd
pcf
pch
pcj
pck
pcr
PCS
pct
pcv
pcw
pd
pd4
pd5
pdas
pdb
pdc
pdcr
pdd
pdf
pdf_
pdf_profile
pdf_tsid
pdfa
pdfe
pdfenx
pdfig
pdfl
pdfua
pdfvt
pdfx
pdfxml
pdfz
pdg
pdi
pdm
pdo
pdp
pds
pdw
pdx
pdz
peb
pef
pem
pep
PERF
pes
pex
pez
pf
pfc
pfd
pfl
pfm
pfsx
pft
pfx
pg
pgd
pgs
phb
phd
phm
php
phr
phs
pih
pixexp
pj2
pj4
pj5
pjm
pjt
pk
pka
pkb
pkey
pkg
pkh
pkpass
pks
pkt
pl
plan
planner
plb
plc
pld
pli
pln
pls
plt
plus_muhd
plw
pm
PM2
pm3
pm4
pm5
pm6
pm7
pmatrix
pmd
pmf
pml
pmm
pmo
pmr
pmt
pmv
pmx
pnproj
pns
pnu
pnz
po
POC
pod
poi
pool
popshape
por
pot
pothtml
potm
potx
pp
pp2
pp3
ppam
ppd
ppdf
ppf
ppj
ppp
ppr
pps
ppsenx
ppsm
ppsx
ppt
ppte
ppthtml
pptl
pptm
pptmhtml
pptt
pptx
ppws
ppx
prc
prd
prdx
pref
prel
prf
printcd2
prj
prn
pro
pro4
pro4dvd
pro4pl
pro4plx
pro4x
pro5
pro5dvd
pro5pl
pro5plx
pro5x
pro6plx
proofingtool
props
proqc
prproj
prr
prs
prt
prtc
prv
prx
ps
PS1XML
ps2
ps3
psa
psafe3
psb
psd
PSD1
pse8db
psf
psg
psi2
psip
psk
psm
PSM1
psmd
pspd
pspimage
pss
pst
psv
psw
psw6
pswx
psz
pt3
pt6
ptb
ptc
ptf
pth
ptk
ptn
ptn2
pts
ptx
PTXML
ptz
pub
pubf
pubhtml
pubmhtml
pubx
puz
pvd
pve
pvf
pvhd
pvm
pvw
pw
pwd
pwe
pwf
pwi
pwm
pwp
pwre
pxd
pxf
pxi
pxj
pxl
pxp
py
pys
pzc
pzf
pzt
q07
q08
q09
q3d
qb
qb2005
qb2006
qb2007
qb2009
qb2010
qb2011
qb2012
qb2013
qb2014
qb2015
qb2016
qb2017
qba
qbatlg
qbb
qbj
qbk
qbl
qbm
qbmb
qbmd
qbr
qbw
qbx
qbxml
qby
qch
qcow
qcow2
qct
qdat
qdb
qdf
qdf-backup
qdfm
qdfx
qdp
qdt
qed
qel
qf
qfilter
qfl
qfx
qfxx
qhp
qht
qhtm
qic
qif
qlgenerator
qm
qmbl
qmtf
qpb
qpf
qph
qpx
qrc
qrmx
qrp
qrt
qry
qs
qsd
qsf
qt
qtq
qtr
qtw
QUE
quiz
quox
qv~
qvd
qvf
qvp
qvw
qwd
qwt
qxb
qxd
qxf
qxl
qxp
qxt
r00
r01
r02
r03
r0f
r0z
r3d
ra
ra2
raf
ral
ram
ramd
rap
rar
RAT
ratdvd
raw
ray
razy
rb
rbc
rbf
rbk
rbs
rbt
rcb
rcc
rcd
rcg
rcl
rctd
rcx
rd
rd1
rda
rdata
rdb
rdf
rdfs
rdg
rdi
RDLC
rdlx
rdo
rdoc
rdoc_options
rdx
rdz
re4
reb
rec
redif
ref
reference
rel
rels
rep
res
resbuild
RESJSON
rest
result
RESW
ret
rev
rez
rf
rf1
rfa
rfo
rft
rge
rgmb
rgmc
rgn
rgo
rgss3a
rha
rhif
rhistory
rim
rit
rl
rlf
rll
rm
rm5
rmbak
rmd
rmf
rmh
rmuf
rmx
rna
rng
rnq
rnt
rnw
ro3
roadtrip
roca
rod
rodx
rodz
rofl
rog
roi
ROM
ros
rou
rov
row
rox
roxio
roz
rp
rpa
rpd
rpf
RPO
rpp
rpprj
rpres
rpt
rptr
rpyb
rrd
rrpa
rrr
rrt
rrx
rs
rsc
rsd
rsdf
rsdoc
rsf
rsm
rso
rsp
rsrc
rst
rsv
rsw
rt
rt_
rta
rtdf
rte
rtf
rtf_
rtfd
rtk
rtp
rtpi
rts
rtsl
rtstn
rtsx
rtttl
rtwsh
rtx
ruel
rum
run
rupaf
rv
rvf
rvl
rvt
rw2
rwd
rwg
rwl
rwlibrary
rws
rwz
rxdoc
rzk
rzx
s3db
s85
s8bn
sa5
sa7
sa8
saas
sad
saf
safe
safetext
sah
sam
sar
sas7bdat
sav
save
say
sb
sbc
sbd
sbf
sbn
sbo
sbpf
sbs
sbsc
sbst
sbu
sbw
sbx
sc2save
sc4
sc45
sca
scd
scdoc
sce
scf
scg
scgc
scgp
scgs
sch
SCHEMA
scm
scmt
scn
sco
scr
scriv
scrivx
scs
scspack
scssc
sct
scw
scx
scz
sd
sd0
sd1
sda
sdb
sdc
sdd
sddraft
sdi
sdl
sdlxliff
sdmdocument
sdn
sdo
sdoc
sdp
sdr
sds
sdsk
sdt
sdv
sdw
sdz
se1
SEARCH-MS
secure
seed
sef
sel
sen
seo
seq
sequ
server
ses
set
setup
sev
sfd
sff
sfs
sfx
sgf
sgi
sgl
sgm
sgml
sgz
sh
sh6
shar
shb
show
SHP
shr
shs
shtml
shw
shx
shy
sic
sid
sidd
sidn
sidx
sie
sig
sik
sim
sis
skb
skv
skx
sky
sla
sldm
sldtm
sldx
sle
slf
slk
SLL
slm
slp
slt
slx
slz
sm
smc
smd
sme
smf
smh
smi
smlx
smn
smp
smpkg
sms
smwt
smx
smz
sn1
sn2
sna
snag
snapshot
snb
snf
sng
snk
snp
sns
snt
snx
so
soi
sp
spb
spd
spdf
speccy
spf
spg
spj
spk
spl
spm
spml
sppt
spq
spr
sprt
sprz
sps
spt
spub
spv
sq
sqb
sqd
sqf
sqfs
sql
sqlite
sqlite3
sqlitedb
sqllite
sqr
sqx
sr2
src
SRD
SRD-SHM
SRD-WAL
srf
srfl
srr
srs
srt
srw
ssa
ssc
ssd
ssh
ssi
ssiw
ssm
ssp
ssv
ssx
st
st4
st5
st6
st7
st8
sta
stc
std
stdl
STF
stg
sti
stk
stl
stm
STORE
stp
stproj
stpz
str
struct
stt
stu
stw
stx
stxt
sty
styk
stykz
sub
sud
suf
sum
surf
sv$
sv2i
svd
svdl
svf
svg
svi
svm
svn
svp
svr
svs
swd
swdoc
sweb
swf
SWIDTAG
switch
swk
swp
sx
sxc
sxd
sxe
sxg
sxi
sxl
sxm
sxml
sxw
syn
syncdb
t
t01
t02
t03
t04
t05
t06
t07
t08
t09
t10
t11
t12
t13
t14
t15
t16
t17
t18
t2
t2k
t2ks
t2kt
t2t
t4g
t64
t80
ta1
ta2
ta4
ta5
ta6
ta7
ta8
ta9
tab
tabula-doc
tabula-docstyle
tac
tag
tah
tao
tap
tar
tardist
TARGETS
tax
tax08
tax09
tax10
tax11
tax12
tax13
tax15
tax16
tax17
tax2008
tax2009
tax2010
tax2011
tax2012
tax2013
tax2014
tax2015
tax2016
tax2017
tax2018
tax2019
tb
tbb
tbd
tbh
tbk
tbkx
tbl
tbx
tbz2
tc
tcc
tcd
tch
tck
tclogs
tcnet
tcx
td0
tda
TDAT
tdb
tde
tdg
tdl
tdm
tdms
tdoc
tdr
tdt
te
te1
te3
teacher
ted
tef
template
temx
ter
terrn
terrn2
tet
tex
texi
texinfo
text
textclipping
textile
tfa
tfd
tfm
tfr
tfrd
tg
tga
tgc
tgd
tgf
tgz
THA
thm
thml
thmx
thr
tib
tibkp
tie
tif
tiff
tig
time
timeline
tis
tjp
tk3
tkfl
tl5
tlb
tld
tlg
tlp
tlt
tlx
tlz
tm
tm3
tmb
tmd
TME
tml
tmlanguage
tmp
tmr
tmv
tmw
tmx
tmz
tmzip
tns
tnsp
toast
toc
TON
top
topc
topx
tor
torrent
totalsdb
totalslayout
tp
tpb
tpd
tpf
tpl
tpo
tps
tpsdb
tpu
tpx
tqs
tra
trashinfo
trc
trd
TRE
trf
trif
trk
trm
trn
trp
trs
trx
ts
tsc
tsk
tsl
tsr
tst
tsv
tt10
tt11
tt12
tt13
tt14
tt15
tt16
tt17
tt18
tt2
ttax
ttbk
ttd
ttk
ttmd
TTS
ttskey
ttxt
tu
tur
tvc
tvd
tvdownload
twb
twbx
twdi
twdx
twh
twm
tww
twz
twzip
tx
txa
txd
txe
txf
txm
txn
txtrpt
tyimport
tyset
tzx
u10
u11
u12
u3d
uax
ubj
ubox
ubz
uccapilog
ucd
uci
ud
udb
udc
udeb
udf
udl
uds
UDT
uea
ufs
uhtml
uibak
uif
ukr
ulf
uli
ulp
ulys
ulz
umf
ump
umx
UNINSTALL
unity3d
unr
UNT
unx
uof
uop
uos
uot
update
updf
upk
upoi
upp
upr
urd-journal
urf
url
urp
usa
useq
usr
ustar
usx
ut2
ut3
utc
utd
ute
utf8
uti
utm
uts
utx
uu
uud
uue
uvf
uvw
uvx
uwl
uwrf
uxx
v
v12
v2i
v2t
val
vaporcd
vault
vbadoc
vbd
vbk
vbm
vbox
vbox-prev
vbpf1
vbs
vbw
VBX
vc
vc4
vc6
vc8
vcal
vcd
vce
vcf
VCH
vco
vcp
vcrd
vcs
vct
vcx
vdb
vdf
vdi
vdo
vdoc
vdt
vdx
vec
VER
vf
vfd
vff
vfs
vfs0
vhd
vhdx
vi
vibe
view
vip
vis
viz
vlc
vle
vlg
vlt
vmbx
vmdk
vmf
vmg
vmm
vmsd
vmsn
vmss
vmt
vmwarevm
vmx
vmxf
vob
voi
vok
volarchive
voprefs
vor
vp
vpcbackup
vpd
vpk
vpl
vpol
vpp
vpp_pc
vpx
vrb
vrd
VRG
vrp
vs
vsch
vscontent
vsd
VSDIR
vsdx
vsf
vsi
vspolicy
vssm
vssx
vst
vstx
vsv
vsx
vtf
vthought
vtv
vtx
vud
vvf
vvv
vw
vw3
vxml
vym
vzm
w
w01
w02
W2B
w2p
w3g
w3x
w51
w52
w60
w61
w6bn
w6w
w8bn
w8tn
wab
wac
wad
waff
wallet
walletx
war
wav
wave
waw
wb
wb1
wb2
wb3
wbb
wbcat
WBF
wbi
wbk
wbt
wbxml
wbz
wcat
wcd
wcf
wcl
wcn
wcp
wcst
wd0
wd1
wd2
wd3
wdb
wdbn
wdf
wdgt
wdl
wdn
wdoc
wdq
wdx9
wea
web
webapp
webdoc
webpart
wep
WER
wflx
wfm
wgt
whf
wht
wid
WIH
wii
wil
wim
win
winclone
wiz
wjf
wjr
wk!
wk1
wk2
wk3
wk4
wk5
wkb
wke
wki
wkl
wks
wlb
wld
wll
wls
wlx
wlxml
wlz
wm
wma
wmd
wmdb
wmf
wmga
wmk
wml
wmlc
wmmp
wmo
wms
wmt
wmv
wmx
wn
wnk
wolf
word
wordlist
world
wotreplay
wow
woz
wp
wp42
wp5
wp50
wp6
wp7
wpa
wpb
wpc
wpc2
wpd
wpd0
wpd1
wpd2
wpd3
wpe
wpf
wpk
wpl
wpo
wpost
wps
wpt
wpw
wr1
wrf
wri
wrk
wrlk
ws
ws1
ws2
ws3
ws4
ws5
ws6
ws7
WSB
WSC
wsd
wsf
wsh
wsi
wsm
wsp
wspak
wtb
wtbn
wtd
wtf
wtml
wtmp
wtp
wtr
wts
wtt
wtx
wud
wvp
wvw
wvx
wwcx
WWD
wwi
wwl
wws
wwt
wx
wxmx
wxp
wyn
wzn
wzs
x11
x16
x3f
x3g
x64
xa
xaf
xaiml
XAML
xamlx
xappl
xar
xas
xav
xbc
xbd
XBF
xbk
xbrl
xbt
xci
xcsl
xda
xdb
xdc
xdf
xdi
xdna
xdo
xdoc
xdp
xds
xdw
xef
xem
xer
xf
xfd
xfdf
xfi
xfl
xflow
xfn
xfo
xfp
xfr
xft
xfx
xgml
xgmml
xgp
xht
xhtm
xhtml
xif
xig
XIN
xis
xjf
xl
xla
xlam
xlb
xlc
xld
xle
xlf
xlgc
xliff
xline
xlist
xlk
xll
xlm
xlnk
xlr
xls
xlsb
xlse
xlshtml
xlsl
xlsm
xlst
xlsx
xlsxl
xlt
xlthtml
xltm
xltx
xlv
xlw
xlwx
xma
xmap
xmcd
xmct
xmd
xmdf
xmf
xmi
xmind
xml
xmlff
xmlper
xmmap
xmn
xmp
xmpz
xms
xmt_bin
xmta
xmwx
xmzx
XPB
xpd
xpdl
xpg
xpi
xpj
xpll
xpm
xpr
xps
xpse
xpt
xpwe
xqm
xqr
xqx
xrb
xrdml
xrff
xrp
xry
xsc
xsd
xsf
xsig
xsl
xslt
xsvf
XSX
xtbl
xtd
xtg
xtm
xtml
xtp
xtps
xtrl
xum
xv0
xv2
xv3
xva
xvct
xvd
xvg
xvid
xvl
xwd
xweb3htm
xweb3html
xweb4stm
xweb4xml
xwf
xwp
xxd
xxe
xxx
xy
xy3
xy4v
xyd
xyz
xyzv
yab
yam
ycbcra
ychat
yenc
YES
ygf
yka
yml
ync
yps
yrcbck
yrcbkm
yrcdat
yumtx
yuv
z02
z04
zap
zbfx
zdb
zdc
zdct
ZFSENDTOTARGET
zim
zip
zipx
zix
zma
zmc
zoo
zpl
zps
ztmp
ert
efd
biz
CDX
SQL
DD
MD
MDF
LOG
DB
BD
LOG
cfu
DAT
DBF
DBX
SDF
BACK
BACKUP
BAC
AWB
DMP
SAV
TIB
VBK
VRB
WBB
TRN
TIS
ZIP
RAR
SQL
BAK
DCX
DBC
DBX
DCT
XLS
XLSX
DOC
DOCX
FPT
LDF
NDF
$ER
4DD
4DL
ACCDB
ACCDC
ACCDE
ACCDR
ACCDT
ACCFT
ADB
ADB
ADE
ADF
ADP
ALF
ASK
BTR
CAT
CDB
CDB
CDB
CKP
CMA
CPD
CRYPT12
CRYPT8
CRYPT9
DACPAC
DAD
DADIAGRAMS
DASCHEMA
DB
DB
DB-SHM
DB-WAL
DBCRYPT12
DBCRYPT8
DB3
DBC
DBF
DBS
DBT
DBV
DBX
DCB
DCT
DCX
DDL
DLIS
DP1
DQY
DSK
DSN
DTSX
DXL
ECO
ECX
EDB
EDB
EPIM
EXB
FCD
FDB
FDB
FIC
FMP
FMP12
FMPSL
FOL
FP3
FP4
FP5
FP7
FPT
FRM
GDB
GDB
GRDB
GWI
HDB
HIS
IB
IDB
IHX
ITDB
ITW
JET
JTX
KDB
KEXI
KEXIC
KEXIS
LGC
LWX
MAF
MAQ
MAR
MARSHAL
MAS
MAV
MDB
MDF
MPD
MRG
MUD
MWB
MYD
NDF
NNT
NRMLIB
NS2
NS3
NS4
NSF
NV
NV2
NWDB
NYF
ODB
ODB
OQY
ORA
ORX
OWC
P96
P97
PAN
PDB
PDB
PDM
PNZ
QRY
QVD
RBF
RCTD
ROD
ROD
RODX
RPD
RSD
SAS7BDAT
SBF
SCX
SDB
SDB
SDB
SDB
SDC
SDF
SIS
SPQ
SQL
SQLITE
SQLITE3
SQLITEDB
TE
TEACHER
TEMX
TMD
TPS
TRC
TRC
TRM
UDB
UDL
USR
V12
VIS
VPD
VVV
WDB
WMDB
WRK
XDB
XLD
XMLFF
vmrs
VMSC
VMRS
3me
3pe
hif
iif
lyt
nd
qb2005
qb2006
qb2007
qb2009
qb2010
qbb
qbm
qbmb
qbo
qbw
qbx
qdf
qel
qfx
qpb
qsd
tax
tax08
tax09
tax10
tax11
tax2008
tax2009
tax2010
tax2011
tlg
tt11
qb2011
qb2012
imt
3ME
3PE
HIF
IIF
LYT
ND
QB2005
QB2006
QB2007
QB2009
QB2010
QBB
QBM
QBMB
QBO
QBW
QBX
QDF
QEL
QFX
QPB
QSD
TAX
TAX08
TAX09
TAX10
TAX11
TAX2008
TAX2009
TAX2010
TAX2011
TLG
TT11
QB2011
QB2012
IMT
VHDX
VHD
lxa
LXA
AVHD
AVHDX
OVA
BKF
altrdf
ALTRDF
altc
alttr
bck
TIBX
tibx
ARC

マルウェアは、以下を実行します。

encrypts all available drives (except for CDROMs)
empties recycle bin
It checks for {Malware directory}\Config.enc for its configuration file
Kills processes with large private memory space if their process name is not one of the following:
- {Malware Name}
- chrome
- opera
- msedge
- iexplore
- firefox
- explorer
- wininit
- winlogon
- SearchApp
- SearchIndexer
- SearchUI
Displays the following text after restarting the system:
Displays a balloon tip containing the following text:

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

autoexec.bat
desktop.ini
autorun.inf
ntuser.dat
NTUSER.DAT
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
bootmgr
pagefile.sys
config.sys
ntuser.ini
Builder_Log
RSAKeys
ECCKeys
Config.enc
RESTORE_FILES_INFO
Recycle.Bin
reload1.lnk
Debug_Log.txt
UserName={UserName}_MachineName={MachineName}_{System Volume Information}.txt

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

C:\Program Files\
C:\Program Files (x86\
:\Windows\
perflogs
internet explorer
:\ProgramData\
\AppData\
msocache
system volume information
boot
tor browser
mozilla
appdata
google chrome
application data
Microsoft SQL Server

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.5x9imb

マルウェアが作成する以下のファイルは、脅迫状です。

%User Temp%\HOW_TO_RECOVER_YOUR_FILES.txt
%Desktop%\HOW_TO_RECOVER_YOUR_FILES.txt
{encrypted directory}\HOW_TO_RECOVER_YOUR_FILES.txt

以下のファイル拡張子を持つファイルについては暗号化しません：

.5x9imb
exe
dll
EXE
DLL

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 17.758.06

初回 VSAPI パターンリリース日 2022年8月18日

VSAPI OPR パターンバージョン 17.759.00

VSAPI OPR パターンリリース日 2022年8月19日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

TROJ.Win32.TRX.XXPE50FFF059

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- LocalAccountTokenFilterPolicy = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- legalnoticecaption = Attention Attention Attention!
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- legalnoticetext = Did you get in trouble? Email our IT professionals and provide you with a solution! email - itsupport831@reddithub.com
In HKEY_CURRENT_USER\SOFTWARE\KEYID\myKeyID
- ID1 = {Random Characters}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- LegalNoticeCaption = Attention Attention Attention!
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- LegalNoticeText = Did you get in trouble? Email our IT professionals and provide you with a solution! email - itsupport831@reddithub.com

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
  ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System
右側のパネルで以下のレジストリ値を検索します。
DisableTaskMgr = 1
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>System
右側のパネルで以下のレジストリ値を検索します。
LocalAccountTokenFilterPolicy = 1
再び、右側のパネルで以下のレジストリ値を検索します。
EnableLinkedConnections = 1
再び、右側のパネルで以下のレジストリ値を検索します。
legalnoticecaption = Attention Attention Attention!
再び、右側のパネルで以下のレジストリ値を検索します。
legalnoticetext = Did you get in trouble? Email our IT professionals and provide you with a solution! email - itsupport831@reddithub.com
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>SOFTWARE>KEYID>myKeyID
右側のパネルで以下のレジストリ値を検索します。
ID1 = {Random Characters}
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
右側のパネルで以下のレジストリ値を検索します。
LegalNoticeCaption = Attention Attention Attention!
再び、右側のパネルで以下のレジストリ値を検索します。
LegalNoticeText = Did you get in trouble? Email our IT professionals and provide you with a solution! email - itsupport831@reddithub.com
レジストリエディタを閉じます。

手順 6

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\SOFTWARE\KEYID\myKeyID
- ID1 = {Random characters}

手順 7

このレジストリキーを削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\KEYID
In HKEY_CURRENT_USER\Software\KEYID\myKeyID

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Temp%\RESTORE_FILES_INFO.txt
{Encrypted Directory}\RESTORE_FILES_INFO.txt
%Desktop%\RESTORE_FILES_INFO.txt

手順 9

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Ransom.MSIL.THANOS.THHAHBB」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 10

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください