Trend Micro Security

Ransom.Win32.CLOP.D

2019年2月27日
 解析者: Kiyoshi Obuchi   
 更新者 : Arvin Roi Macaraeg

 別名:

N/A

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、脅迫状としてファイルを作成します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 257,328 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年2月22日
ペイロード プロセスの強制終了, ファイルの暗号化, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • {Malware path}\clearsystems-11-11.bat

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Fany---Fany---6-6-6

自動実行方法

マルウェアは、以下のサービスを開始します。

  • Service Name: ProcessNetworkSecurity

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • WINWORD.EXE
  • EXCEL.EXE
  • THEBAT.EXE
  • THEBAT64.EXE
  • THUNDERBIRD.EXE
  • VISIO.EXE
  • WORDPAD.EXE
  • MSFTESQL.EXE
  • SQLWRITER.EXE
  • ORACLE.EXE
  • XFSSVCCON.EXE
  • OCAUTOUPDS.EXE
  • MYDESKTOPQOS.EXE
  • MYSQLD-NT.EXE
  • MYSQLD-OPT.EXE
  • AGNTSVC.EXEAGNTSVC.EXE
  • OUTLOOK.EXE
  • POWERPNT.EXE

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • {file name}.{file extension}.Clop

ランサムウェアの不正活動

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Folder}\Clopreadme.txt

<補足>
その他

マルウェアは、以下を実行します。

  • マルウェアは、以下の場合、自身を削除します。
    • キーボードの配置が以下の場合:
      • グルジア語
      • ロシア語
      • タジク語
      • ベラルーシ語
      • アルメニア語
      • アゼリ語
      • カザフ語
      • キルギス語
    • 既定の言語IDが以下の場合:
      • ロシア語
    • マルウェアは、以下のプロセスが見つからない場合、"{マルウェアパス} \ clearsystems - 11 - 11. Bat"を作成して実行します。
      • SBAMTray.exe
      • SBPIMSvc.exe
      • SBAMSvc.exe
      • VipreAAPSvc.exe
      • WRSA.exe
    • ブート構成データファイルを編集するため、以下のコマンドを実行します。
      • bcdedit /set {デフォルト} recoveryenabled No
      • bcdedit /set {デフォルト} bootstatuspolicy ignoreallfailures
    • シャドウコピーの削除やサイズ変更を行うため、以下のコマンドを実行します。
      • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
      • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
      • vssadmin Delete Shadows /all /quiet
    • マルウェアは、以下を除くすべてのファイルを暗号化します。
      • Clopreadme.txt
      • ntldr
      • NTLDR
      • boot.ini
      • BOOT.INI
      • ntuser.ini
      • NTUSER.INI
      • AUTOEXEC.BAT
      • autoexec.bat
      • .Clop
      • NTDETECT.COM
      • ntdetect.com
      • .dll
      • .DLL
      • .exe
      • .EXE
      • .sys
      • .SYS
      • .OCX
      • .ocx
      • .LNK
      • .lnk
      • desktop.ini
      • autorun.inf
      • ntuser.dat
      • iconcache.db
      • bootsect.bak
      • ntuser.dat.log
      • thumbs.db
      • DESKTOP.INI
      • AUTORUN.INF
      • NTUSER.DAT
      • ICONCACHE.DB
      • BOOTSECT.BAK
      • NTUSER.DAT.LOG
      • THUMBS.DB
    • マルウェアは、以下の場所に存在するファイルを暗号化します。
      • リムーバブルドライブ
      • 固定ドライブ
      • 共有ドライブ
    • バッチファイル "{マルウェアパス} \ clearsystems-11-11.bat"には、以下の文字列が含まれています。
      • vssadmin Delete Shadows /all /quiet
        vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
        vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
        vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
        vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
        vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
        vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
        vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
        vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
        vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
        vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
        vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
        vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
        vssadmin Delete Shadows /all /quiet
        bcdedit /set {デフォルト} recoveryenabled No
        bcdedit /set {デフォルト} bootstatuspolicy ignoreallfailures


          対応方法

        対応検索エンジン: 9.850
        初回 VSAPI パターンバージョン 14.830.05
        初回 VSAPI パターンリリース日 2019年2月22日
        VSAPI OPR パターンバージョン 14.831.00
        VSAPI OPR パターンリリース日 2019年2月23日

        手順 1

        Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

        手順 2

        このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

        手順 3

        Windowsをセーフモードで再起動します。

        [ 詳細 ]

        手順 4

        このマルウェアのサービスを無効にします。

        [ 詳細 ]
        •  
          • Service Name: ProcessNetworkSecurity

        手順 5

        以下のファイルを検索し削除します。

        [ 詳細 ]
        コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
        • {Malware path}\clearsystems-11-11.bat
      • Windows 2000、XP および Server 2003 の場合:

        1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
        2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
          • {Malware path}\clearsystems-11-11.bat
        3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
        4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
          註:ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)

      • Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合:

        1. Windowsエクスプローラ画面を開きます。
          • Windows Vista、7 および Server 2008 の場合:
            • [スタート]-[コンピューター]を選択します。
          • Windows 8、8.1 および Server 2012 の場合:
            • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
        2. [コンピューターの検索]に、以下を入力します。
          • {Malware path}\clearsystems-11-11.bat
        3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
          註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.CLOP.D」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください