Ransom.Win32.AURORA.THHOAAI

2019年8月27日

更新者 : Jay Bradley Nebre

別名:

Ransom:Win32/Aurora.PI (Microsoft); RDN/Generic.grp (McAfee); Trojan-Ransom.Win32.Gen.sbe (Kaspersky)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 406,528 bytes

タイプ EXE

メモリ常駐はい

発見日 2019年8月27日

ペイロードファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSFEEditor = "{malware path and file name}.exe e"

作成活動

マルウェアは、以下のファイルを作成します。

%Application Data%\000000000.key

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

1c
1CD
3dm
3ds
3fr
3g2
3gp
7z
123
602
_MS
_ms
ABD
accdb
accde
accdr
accdt
ace
aes
ai
alg
allet
AMS
apk
CRA
arch00
arm
art
arw
arz
asc
asf
asm
asp
asset
avhdx
avi
CAB
backup
BAK
bak
bar
bat
bay
bc6
bc7
bck
BDB
big
bik
bkf
BKP
bkp
BKUP
blob
bmp
BPN
brd
bsa
bsm
bxl
bz2
c
cad
cam
cas
CBK
cbu
cdr
cdr3
cdr4
cdr5
cel
cer
cert
cf
cfg
cfr
cgm
CHG
ckt
class
classpath
cmd
cnf
con
config
cpa
cpp
cr2
crt
crw
cs
csa
csr
css
csv
cwz
d
d3dbsp
das
dat
data
dazip
db
db0
db3
db5
dba
dbc
DBF
dbf
dbs
dbx
dch
dcr
ddb
der
desc
DFT
dif
dip
djvu
DMP
dmp
dng
doc
docb
docm
docx
dot
dotm
dotx
dra
drl
dru
dsn
dsnwrk
dt
dwg
dxf
dxg
edb
edf
elt
eml
epk
eps
erf
esm
ewprj
fdb
ff
fla
flv
fods
fodt
forge
fos
fp7
fpd
fpk
frm
fsh
g1
g2
g3
g4
gbl
gbo
gbp
gbr
gbs
gbx
gdb
GDF-BACKUP
GHO
gho
gif
gko
gml
gp
gp1
gp2
gp3
gp4
gpb
gpg
gpt
grb
gtl
gto
gtp
gts
gwk
gz
h
hkdb
hkx
hplg
hvpl
hwp
ibank
ibd
ibz
icxs
idb
idc
idx
indd
info
ip
ipc
ism
iso
itdb
itl
itm
iwd
iwi
IX
jar
java
jnt
jpe
jpeg
jpg
jrl
js
jsp
kdb
kdc
kf
kicad
lay
lay6
layout
lbf
lbr
LC
LCK
ldb
ldf
lg
lgc
lia
lib
libprj
LICENSE
licz
litemod
llx
lmc
lrf
ltx
lua
lvl
lyt
lzh
lzma
m2
m3u
m4a
m4u
map
max
mcmeta
mdb
mdbackup
mddata
mdf
mef
menu
mid
mkv
mlx
mml
mov
mp3
mp4
mpeg
mpg
mpqge
mrg
mrwref
msg
myd
myi
mysql
mysqli
NBD
nc
ncf
ndf
nef
nrw
ntl
OBK
odb
odc
odg
odm
odp
ods
odt
OEB
olb
one
onetoc2
opj
opt
ORA
orf
ost
otg
otp
ots
ott
p
p7b
p7c
p12
pad
pak
PAQ
par
pas
pbd
pc
pcb
pcbdoc
pdb
pdblib
pdd
pdf
pef
pem
pfx
phj
phl
pho
php
pkpass
pl
png
pot
potm
potx
ppam
ppc
pps
ppsm
ppsx
ppt
pptm
pptx
prj
prjcor
prjemb
prjpcb
pro
project
prt
ps1
psd
psk
psm
pst
ptx
py
Q99
QB1
QBA
QBB
QBK
QBM
QBMB
QBMD
qbquery
QBW
QBX
qdf
QFD
QFX
qic
QIF
QMD
qry
QUICKEN
QUICKEN2015BACKUP
QUICKEN2016BACKUP
QUICKEN2017BACKUP
QW5
r3d
raf
rar
raw
rb
re4
reu
rgss3a
rim
rofl
rou
rtf
rul
rw2
rwl
s3db
sal
sav
sb
sch
schdoc
schlib
SDF
sdf
sh
sid
sidd
sidn
sie
sis
sl2
sl3
sldm
sldx
slk
slm
sln
snt
snx
SQB
sql
sqlite
sqlite3
sqlitedb
sqr
sr2
srf
srw
ssq
stc
std
sti
stw
sum
suo
svg
swf
sxc
sxd
sxi
sxm
sxw
syncdb
t12
t13
tar
tax
tbk
tcf
tgz
tib
tif
tiff
tmd
TMP
tor
trn
txt
ub
uop
uot
upk
vb
vbs
vcd
vcf
vdf
vdi
vfs0
vhd
vhdx
vmdk
vmx
vob
vpk
vpp_pc
vsd
vsdx
vtf
w3x
wab
wav
wb2
WBK
wdb
wk1
wks
wma
wmo
wmv
wotreplay
wpd
wps
x3f
xf
XG3
XGO
xlc
XLK
xlk
xlm
xls
xls
xlsb
xlsm
xlsx
xlt
xltm
xltx
xlw
xml
xslt
xxx
ydk
zip
zpd
ztmp

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

{encrypted file}.infected

マルウェアが作成する以下のファイルは、脅迫状です。

@@_FILES_ARE_ENCRYPTED_@@.txt
@@_HOW_TO_RETURN_DATA_@@.txt
@@_RECOVERY_INSTRUCTIONS_@@.txt

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.278.05

初回 VSAPI パターンリリース日 2019年8月5日

VSAPI OPR パターンバージョン 15.279.00

VSAPI OPR パターンリリース日 2019年8月6日

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MSFEEditor = {malware path and file name}.exe e

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\000000000.key

手順 6

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Ransom.Win32.AURORA.THHOAAI」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください