Trend Micro Security

Ransom.MSIL.VIGRA.THIODAIA

2019年9月16日
 更新者 : Jemimah Mae Molina

 別名:

RDN/Ransom (McAfee); HEUR:Trojan.MSIL.DelShad.gen (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染確認数:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 77,824 bytes
タイプ EXE
メモリ常駐 なし
発見日 2019年8月20日
ペイロード ファイルの暗号化, ファイルの削除, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • vssadmin Delete Shadows /All /Quiet → deletes shadow copies
  • cipher /W:%System Root%:\ → wipes data from %System Root%
  • fsutil usn deletejournal /D %System Root% → delete an active USN change journal on %System Root%
  • shutdown -L → logs off the current user on machine

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Desktop%\BACKGROUND.BMP

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Viagra yungthugger (V-0.1.31)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticetext = {user name}, your files are encrypted. Look for README-VIAGRA-{8 random characters}.HTML in every folder, for instructions on how to get your files back.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
RegisteredOwner = {user name}, your files are encrypted. Look for README-VIAGRA-{8 random characters}.HTML in every folder, for instructions on how to get your files back.

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

作成活動

マルウェアは、以下のファイルを作成します。

  • %Desktop%\BACKGROUND.BMP → used as wallpaper

(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • .txt
  • .doc
  • .jpg
  • .ogg
  • .jpeg
  • .tif
  • .tiff
  • .png
  • .docx
  • .docm
  • .xlsm
  • .xlsx
  • .pdf
  • .pptm
  • .pptx
  • .ppt
  • .xls
  • .xla
  • .dot
  • .dotm
  • .odb
  • .odf
  • .bmp
  • .odg
  • .htm
  • .html
  • .xml
  • .pfx
  • .bit
  • .pdf
  • .com
  • .css
  • .js
  • .vbs
  • .sln
  • .au3
  • .flac
  • .url
  • .ini
  • .cfg
  • .conf
  • .avi
  • .mp3
  • .m4a
  • .3gp
  • .vid
  • .vob
  • .asm
  • .webmoney
  • .sav
  • .nth
  • .java
  • .jar
  • .sis
  • .key
  • .$$$
  • .reg
  • .apk
  • .ncf
  • .navpath
  • .nfo
  • .nokogiri
  • .nrg
  • .nsh
  • .rtf
  • .nvram
  • .oa2
  • .oa3
  • .obj
  • .obt
  • .obx
  • .obz
  • .ocr
  • .odif
  • .odo
  • .oda
  • .odl
  • .osd
  • .osf
  • .ps1
  • .p01
  • .p10
  • .p12
  • .7z
  • .rar
  • .zip
  • .arj
  • .tar.gz
  • .tar
  • .pak
  • .pcd
  • .pdb
  • .pdc
  • .prc
  • .peb
  • .pef
  • .cad
  • .pkg
  • .ply
  • .ppx
  • .proofingtool
  • .ps
  • .pub
  • .pubx
  • .py
  • .pyc
  • .pys
  • .qbx
  • .r00
  • .rw
  • .rwlibrary
  • .so
  • .sam
  • .sh
  • .shtml
  • .xhtml
  • .smh
  • .opus
  • .sql
  • .sqlite1
  • .sqlite
  • .spb
  • .ssh
  • .struct
  • .suf
  • .ssx
  • .tex
  • .tdr
  • .jtd
  • .tga
  • .torrent
  • .tor
  • .tml
  • .lua
  • .tgz
  • .thm
  • .web
  • .wdb
  • .gif
  • .gadget
  • .erf
  • .wmv
  • .mov
  • .cdr
  • .qbm
  • .x11
  • .war
  • .eps
  • .bik
  • .jtt
  • .go
  • .602
  • .c
  • .cs
  • .h
  • .cpp
  • .hpp
  • .sln
  • .rdb
  • .cer
  • .mp2
  • .xhtml
  • .php
  • .mf
  • .xsl
  • .sheet
  • .sas7bdat
  • .djvu
  • .stone
  • .tga
  • .eml
  • .mmpz
  • .mmp
  • .bin
  • .3g2
  • .sql
  • .3dm
  • .wks
  • .wps
  • .mpa
  • .wpl
  • .deb
  • .elf
  • .dbg
  • .sav
  • .csv
  • .cgi
  • .bat
  • .wsf
  • .svg
  • .ico
  • .cfm
  • .rss
  • .class
  • .sh
  • .swift
  • .mkv
  • .sb
  • .pk3
  • .skb
  • .szs
  • .prz
  • .mpp
  • .spc
  • .myd
  • .ccp4
  • .eossa
  • .cdf
  • .ps1
  • .ps1xml
  • .p7b
  • .p7c
  • .gsm
  • .vgm
  • .bkp
  • .band
  • .hs
  • .gml
  • .e
  • .d
  • .xpl
  • .osr
  • .osu
  • .mcpack
  • .mctemplate
  • .lip
  • .3ds
  • .wad
  • .gba
  • .gbc
  • .fds
  • .maf
  • .jsp
  • .ihtml
  • .cps
  • .vb

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • %System Root%\Users
  • %System Root%\Documents and Settings
  • %System Root%\xampp

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .{base-64 encoded string}{4 random characters}

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Directory}\README-VIAGRA-{8 random characters}.HTM


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.364.03
初回 VSAPI パターンリリース日 2019年9月13日
VSAPI OPR パターンバージョン 15.365.00
VSAPI OPR パターンリリース日 2019年9月14日

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • Wallpaper = %Desktop%\BACKGROUND.BMP
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • WallpaperStyle = 2
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • legalnoticecaption = Viagra yungthugger (V-0.1.31)
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • legalnoticetext = {user name}, your files are encrypted. Look for README-VIAGRA-{8 random characters}.HTML in every folder, for instructions on how to get your files back.
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    • RegisteredOwner = {user name}, your files are encrypted. Look for README-VIAGRA-{8 random characters}.HTML in every folder, for instructions on how to get your files back.

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %Desktop%\BACKGROUND.BMP
  • {Encrypted Directory}\README-VIAGRA-{8 random characters}.HTM

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.MSIL.VIGRA.THIODAIA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

デスクトッププロパティを修正します。

[ 詳細 ]


ご利用はいかがでしたか? アンケートにご協力ください