Ransom.Win32.AVOSLOCKER.F
Ransom:Win32/AvosLocker.MBK!MTB (MICROSOFT); HEUR:Trojan.Win32.DelShad.gen (KASPERSKY)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、バックドア活動の機能を備えていません。
身代金要求文書のファイルを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\{Random Digits}.png
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のプロセスを追加します。
- cmd /c wmic shadowcopy delete /nointeractive
- cmd /c vssadmin.exe Delete Shadows /All /Quiet
- cmd /c bcdedit /set {default} recoveryenabled No
- cmd /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
- cmd /c powershell -command "Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }"
- powershell -Command "$a = [System.IO.File]::ReadAllText(\"D:\GET_YOUR_FILES_BACK.txt\");Add-Type -AssemblyName System.Drawing;$filename = \"$env:temp\$(Get-Random).png\";$bmp = new-object System.Drawing.Bitmap 1920,1080;$font = new-object System.Drawing.Font Consolas,10;$brushBg = [System.Drawing.Brushes]::Black;$brushFg = [System.Drawing.Brushes]::White;$format = [System.Drawing.StringFormat]::GenericDefault;$format.Alignment = [System.Drawing.StringAlignment]::Center;$format.LineAlignment = [System.Drawing.StringAlignment]::Center;$graphics = [System.Drawing.Graphics]::FromImage($bmp);$graphics.FillRectangle($brushBg,0,0,$bmp.Width,$bmp.Height);$graphics.DrawString($a,$font,$brushFg,[System.Drawing.RectangleF]::FromLTRB(0, 0, 1920, 1080),$format);$graphics.Dispose();$bmp.Save($filename);reg add \"HKEY_CURRENT_USER\Control Panel\Desktop\" /v Wallpaper /t REG_SZ /d $filename /f;Start-Sleep 1;rundll32.exe user32.dll, UpdatePerUserSystemParameters, 0, $false;"
- %System%\reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d C:\Users\DYITUS~1\AppData\Local\Temp\1544981028.png /f
- %System%\rundll32.exe user32.dll UpdatePerUserSystemParameters 0 False
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Zheic0WaWie6zeiy -> Only if "--nomutex" is not used
他のシステム変更
マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{Random Digits}.png
マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。
- %User Temp%\{Random Digits}.png
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- encsvc
- thebat
- mydesktopqos
- xfssvccon
- firefox
- infopath
- winword
- steam
- synctime
- notepad
- ocomm
- onenote
- mspub
- thunderbird
- agntsvc
- sql
- excel
- powerpnt
- outlook
- wordpad
- dbeng50
- isqlplussvc
- sqbcoreservice
- oracle
- ocautoupds
- dbsnmp
- msaccess
- tbirdconfig
- ocssd
- mydesktopservice
- visio
その他
マルウェアは、以下を実行します。
- This Ransomware displays its encryption progress in console.
- It encrypts files found in the following drives:
- Fixed Drives
- Removable Drives
- Network Share Drives
- It avoids encrypting files with the following file extensions:
- avos
- avoslinux
- avos2
- avos2j
- themepack
- nls
- diagpkg
- msi
- lnk
- exe
- cab
- scr
- bat
- drv
- rtp
- msp
- prf
- msc
- ico
- key
- ocx
- diagcab
- diagcfg
- pdb
- wpx
- hlp
- icns
- rom
- dll
- msstyles
- mod
- ps1
- ics
- hta
- bin
- cmd
- ani
- 386
- lock
- cur
- idx
- sys
- com
- deskthemepack
- shs
- ldf
- theme
- mpa
- nomedia
- spl
- cpl
- adv
- icl
- msu
マルウェアは、以下のパラメータを受け取ります。
- -p, --path [Path to Encrypt] → Encrypt files in specific path
- -b, --brutesmb → Bruteforce SMB for logical drives
- --nomutex → Disable mutex / ignore other instances
- -l, --disabledrives → Disable logical drives enumeration
- -n, --enablesmb → Enable SMB enumeration
- -t, --threads [No of Threads] → Max threads for encryption (default:200)
- -h, --help → Print usage
- --hide → Hides console window
マルウェアは、脆弱性を利用した感染活動を行いません。
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- config.msi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- Thumbs.db
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- All Users
- AppData
- boot
- bootmgr
- Games
- Intel
- Microsoft. [Directory name starts with Microsoft.]
- Program Files
- ProgramData
- Public
- Sophos
- System Volume Information
- Windows
- Windows.old
- WinNT
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .avos2
マルウェアが作成する以下のファイルは、脅迫状です。
- %Desktop%\GET_YOUR_FILES_BACK.txt
- {Encrypted Directory}\GET_YOUR_FILES_BACK.txt
<補足>
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\{ランダムな数字}.png
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のプロセスを追加します。
- cmd /c wmic shadowcopy delete /nointeractive
- cmd /c vssadmin.exe Delete Shadows /All /Quiet
- cmd /c bcdedit /set {default} recoveryenabled No
- cmd /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
- cmd /c powershell -command "Get-EventLog -LogName * | ForEach { Clear-EventLog $_.Log }"
- powershell -Command "$a = [System.IO.File]::ReadAllText(\"D:\GET_YOUR_FILES_BACK.txt\");Add-Type -AssemblyName System.Drawing;$filename = \"$env:temp\$(Get-Random).png\";$bmp = new-object System.Drawing.Bitmap 1920,1080;$font = new-object System.Drawing.Font Consolas,10;$brushBg = [System.Drawing.Brushes]::Black;$brushFg = [System.Drawing.Brushes]::White;$format = [System.Drawing.StringFormat]::GenericDefault;$format.Alignment = [System.Drawing.StringAlignment]::Center;$format.LineAlignment = [System.Drawing.StringAlignment]::Center;$graphics = [System.Drawing.Graphics]::FromImage($bmp);$graphics.FillRectangle($brushBg,0,0,$bmp.Width,$bmp.Height);$graphics.DrawString($a,$font,$brushFg,[System.Drawing.RectangleF]::FromLTRB(0, 0, 1920, 1080),$format);$graphics.Dispose();$bmp.Save($filename);reg add \"HKEY_CURRENT_USER\Control Panel\Desktop\" /v Wallpaper /t REG_SZ /d $filename /f;Start-Sleep 1;rundll32.exe user32.dll, UpdatePerUserSystemParameters, 0, $false;"
- %System%\reg.exe add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d C:\Users\DYITUS~1\AppData\Local\Temp\1544981028.png /f
- %System%\rundll32.exe user32.dll UpdatePerUserSystemParameters 0 False
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Zheic0WaWie6zeiy -> パラメータ「--nomutex」が使用されていない場合のみ
他のシステム変更
マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{ランダムな数字}.png
マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。
- %User Temp%\{ランダムな数字}.png
その他
マルウェアは、以下を実行します。
- このランサムウェアは暗号化の処理状況をコンソール画面に表示します。
- 下記ドライブ内のファイルを暗号化します。
- 固定ドライブ
- リムーバブルドライブ
- ネットワーク共有ドライブ
- 下記の拡張子を持つファイルについては暗号化しません。
- avos
- avoslinux
- avos2
- avos2j
- themepack
- nls
- diagpkg
- msi
- lnk
- exe
- cab
- scr
- bat
- drv
- rtp
- msp
- prf
- msc
- ico
- key
- ocx
- diagcab
- diagcfg
- pdb
- wpx
- hlp
- icns
- rom
- dll
- msstyles
- mod
- ps1
- ics
- hta
- bin
- cmd
- ani
- 386
- lock
- cur
- idx
- sys
- com
- deskthemepack
- shs
- ldf
- theme
- mpa
- nomedia
- spl
- cpl
- adv
- icl
- msu
マルウェアは、以下のパラメータを受け取ります。
- -p, --path [暗号化対象のパス] → 指定パス内のファイルを暗号化
- -b, --brutesmb → 論理ドライブに対するSMBブルートフォース
- --nomutex → ミューテックスの無効化 / 他のインスタンスを無視
- -l, --disabledrives → 論理ドライブの検索を無効化
- -n, --enablesmb → SMBによる検索を有効化
- -t, --threads [スレッド数] → 暗号化用スレッドの最大数 (デフォルト:200)
- -h, --help → 使用法を出力
- --hide → コンソール画面を隠す
マルウェアは、脆弱性を利用した感染活動を行いません。
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- config.msi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- Thumbs.db
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- All Users
- AppData
- boot
- bootmgr
- Games
- Intel
- Microsoft. [名前の先頭部が「Microsoft」のディレクトリ]
- Program Files
- ProgramData
- Public
- Sophos
- System Volume Information
- Windows
- Windows.old
- WinNT
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .avos2
マルウェアが作成する以下のファイルは、脅迫状です。
- %Desktop%\GET_YOUR_FILES_BACK.txt
- {暗号化対象のディレクトリ}\GET_YOUR_FILES_BACK.txt
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
-
Ransom.Win32.TRX.XXPE50FFF066
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「Ransom.Win32.AVOSLOCKER.F」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
以下のファイルを検索し削除します。
- %User Temp%\{Random Digits}.png
- %Desktop%\GET_YOUR_FILES_BACK.txt
- {Encrypted Directory}\GET_YOUR_FILES_BACK.txt
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.AVOSLOCKER.F」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
デスクトッププロパティを修正します。
手順 8
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください