Trend Micro Security

Ransom.Win32.FORMA.THABABAH

2019年3月4日
 解析者: Jay Garcia   

 別名:

Win32:RATX-gen [Trj] (AVAST); HEUR:Trojan.MSIL.HydraPOS.gen (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うマルウェアのプロセスの終了が実行できなくなります。


  詳細

ファイルサイズ 1,543,269 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年12月12日
ペイロード URLまたはIPアドレスに接続, 画像の表示, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Temp%\wallpaper3.bmp
  • %User Profile%\SystemKey.txt
  • %User Profile%\winsys.txt
  • %User Profile%\winsys2.txt
  • %User Profile%\winsys3.txt

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>" です。)

マルウェアは、以下のファイルを作成し実行します。

  • %User Profile%\table.exe
  • %Temp%\1.Bat
  • %Temp%\2.Bat
  • %Temp%\3.Bat
  • %Temp%\4.Bat
  • %Temp%\admin.exe
  • %Temp%\AdobeAcrobatReader.exe
  • %Temp%\invisible.vbs
  • %Temp%\FORMA.exe

(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>" です。. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。

  • syswin32.lnk

他のシステム変更

マルウェアは、以下のレジストリ値を追加し、タスクマネージャを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
wallpaper = %Temp%\wallpaper3.bmp

(註:変更前の上記レジストリ値は、「{value}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

(註:変更前の上記レジストリ値は、「0」となります。)

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

  • .#vc
  • .$ac
  • .00c
  • .07g
  • .07i
  • .08i
  • .09i
  • .09t
  • .10t
  • .11t
  • .123
  • .13t
  • .1pa
  • .1pe
  • .2011
  • .2012
  • .2013
  • .2014
  • .2015
  • .2016
  • .2017
  • .210
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .3me
  • .3pe
  • .500
  • .7z
  • ._vc
  • .aac
  • .aaf
  • .ab4
  • .ac2
  • .acc
  • .accd
  • .ach
  • .aci
  • .acm
  • .acr
  • .aep
  • .aepx
  • .aes
  • .aet
  • .afm
  • .ai
  • .aif
  • .amj
  • .as
  • .as3
  • .asc
  • .asf
  • .asm
  • .asp
  • .asx
  • .ati
  • .avi
  • .back
  • .bak
  • .bay
  • .bc8
  • .bc9
  • .bd2
  • .bd3
  • .bgt
  • .bk2
  • .bkf
  • .bmp
  • .bpf
  • .bpw
  • .brd
  • .brw
  • .btif
  • .bz2
  • .c
  • .cal
  • .cat
  • .cb
  • .cd
  • .cdf
  • .cdr
  • .cdt
  • .cdx
  • .cf8
  • .cf9
  • .cfdi
  • .cfp
  • .cgm
  • .cgn
  • .ch
  • .chg
  • .cht
  • .clas
  • .clk
  • .cmd
  • .cmx
  • .cnt
  • .cntk
  • .coa
  • .cpp
  • .cpt
  • .cpw
  • .cpx
  • .crt
  • .cs
  • .csl
  • .csr
  • .css
  • .csv
  • .cur
  • .cus
  • .d07
  • .dac
  • .dat
  • .db
  • .dbf
  • .dch
  • .dcr
  • .ddd
  • .dds
  • .defx
  • .der
  • .des
  • .dgc
  • .dif
  • .dip
  • .djv
  • .djvu
  • .dng
  • .doc
  • .docb
  • .docm
  • .docx
  • .dot
  • .dotm
  • .dotx
  • .drw
  • .ds4
  • .dsb
  • .dsf
  • .dtau
  • .dtd
  • .dtl
  • .dwg
  • .dxf
  • .dxi
  • .ebc
  • .ebd
  • .ebq
  • .ec8
  • .efs
  • .efsl
  • .efx
  • .emd
  • .eml
  • .emp
  • .ens
  • .ent
  • .epa
  • .epb
  • .eps
  • .eqb
  • .ert
  • .esk
  • .ess
  • .esv
  • .etq
  • .ets
  • .exp
  • .fa1
  • .fa2
  • .fca
  • .fcpa
  • .fcpr
  • .fcr
  • .fef
  • .ffd
  • .fim
  • .fla
  • .flac
  • .flv
  • .fmv
  • .fon
  • .fpx
  • .frm
  • .fx0
  • .fx1
  • .fxr
  • .fxw
  • .fyc
  • .gdb
  • .gem
  • .gfi
  • .gif
  • .gnc
  • .gpc
  • .gpg
  • .gsb
  • .gto
  • .gz
  • .h
  • .h10
  • .h11
  • .h12
  • .hbk
  • .hif
  • .hpp
  • .hsr
  • .html
  • .hts
  • .hwp
  • .i2b
  • .iban
  • .ibd
  • .ico
  • .idml
  • .iff
  • .iif
  • .img
  • .imp
  • .indb
  • .indd
  • .indl
  • .indt
  • .int?
  • .intu
  • .inv
  • .inx
  • .ipe
  • .ipg
  • .itf
  • .jar
  • .java
  • .jng
  • .jp2
  • .jpeg
  • .jpg
  • .js
  • .jsd
  • .jsda
  • .jsp
  • .kb7
  • .kd3
  • .kdc
  • .key
  • .kmo
  • .kmy
  • .lay
  • .lay6
  • .lcd
  • .ldc
  • .ldf
  • .ldr
  • .let
  • .lgb
  • .lhr
  • .lid
  • .lin
  • .lld
  • .lmr
  • .log
  • .lua
  • .lz
  • .m
  • .m10
  • .m11
  • .m12
  • .m14
  • .m15
  • .m16
  • .m3u
  • .m3u8
  • .m4a
  • .m4u
  • .m4v
  • .mac
  • .max
  • .mbsb
  • .md
  • .mda
  • .mdb
  • .mdf
  • .mef
  • .mem
  • .met
  • .meta
  • .mhtm
  • .mid
  • .mkv
  • .ml2
  • .ml9
  • .mlb
  • .mlc
  • .mmb
  • .mml
  • .mmw
  • .mn1
  • .mn2
  • .mn3
  • .mn4
  • .mn5
  • .mn6
  • .mn7
  • .mn8
  • .mn9
  • .mne
  • .mnp
  • .mny
  • .mone
  • .mov
  • .mp2
  • .mp3
  • .mp4
  • .mpa
  • .mpe
  • .mpeg
  • .mpg
  • .mql
  • .mrq
  • .ms11
  • .msg
  • .mwi
  • .mws
  • .mx0
  • .myd
  • .mye
  • .myi
  • .myox
  • .n43
  • .nap
  • .nd
  • .nef
  • .nl2
  • .nni
  • .npc
  • .nv
  • .nv2
  • .oab
  • .obi
  • .odb
  • .odc
  • .odg
  • .odm
  • .odp
  • .ods
  • .odt
  • .oet
  • .ofc
  • .ofx
  • .old
  • .omf
  • .op
  • .orf
  • .ost
  • .otg
  • .otp
  • .ots
  • .ott
  • .p08
  • .p12
  • .p7b
  • .p7c
  • .paq
  • .pas
  • .pat
  • .pcd
  • .pcif
  • .pct
  • .pcx
  • .pd6
  • .pdb
  • .pdd
  • .pdf
  • .pem
  • .per
  • .pfb
  • .pfd
  • .pfx
  • .pg
  • .php
  • .pic
  • .pl
  • .plb
  • .pls
  • .plt
  • .pma
  • .pmd
  • .png
  • .pns
  • .por
  • .pot
  • .potm
  • .potx
  • .pp4
  • .pp5
  • .ppam
  • .ppf
  • .ppj
  • .pps
  • .ppsm
  • .ppsx
  • .ppt
  • .pptx
  • .pr0
  • .pr1
  • .pr2
  • .pr3
  • .pr4
  • .pr5
  • .prel
  • .prf
  • .prn
  • .prpr
  • .ps
  • .psd
  • .psp
  • .pst
  • .ptb
  • .ptdb
  • .ptk
  • .ptx
  • .pvc
  • .pxa
  • .py
  • .q00
  • .q01
  • .q06
  • .q07
  • .q08
  • .q09
  • .q43
  • .q98
  • .qb1
  • .qb20
  • .qba
  • .qbb
  • .qbi
  • .qbk
  • .qbm
  • .qbmb
  • .qbmd
  • .qbo
  • .qbp
  • .qbr
  • .qbw
  • .qbx
  • .qby
  • .qbz
  • .qch
  • .qcow
  • .qdf
  • .qdfx
  • .qdt
  • .qel
  • .qem
  • .qfi
  • .qfx
  • .qif
  • .qix
  • .qme
  • .qml
  • .qmt
  • .qmtf
  • .qnx
  • .qob
  • .qpb
  • .qpd
  • .qpg
  • .qph
  • .qpi
  • .qsd
  • .qsm
  • .qss
  • .qst
  • .qtx
  • .quic
  • .quo
  • .qw5
  • .qwc
  • .qwmo
  • .qxf
  • .r3d
  • .ra
  • .raf
  • .rar
  • .raw
  • .rb
  • .rcs
  • .rda
  • .rdy
  • .reb
  • .rec
  • .resx
  • .rif
  • .rm
  • .rpf
  • .rsspptm
  • .rtf
  • .rtp
  • .rw2
  • .rwl
  • .rz
  • .s12
  • .s7z
  • .saf
  • .saj
  • .say
  • .sba
  • .sbc
  • .sbd
  • .sbf
  • .scd
  • .sch
  • .sct
  • .sdf
  • .sdy
  • .seam
  • .ses
  • .set
  • .shw
  • .sic
  • .skg
  • .sldm
  • .sldx
  • .slk
  • .slp
  • .sql
  • .sqli
  • .sr2
  • .srf
  • .ssg
  • .stc
  • .std
  • .sti
  • .stm
  • .str
  • .stw
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .t00
  • .t01
  • .t02
  • .t03
  • .t04
  • .t05
  • .t06
  • .t07
  • .t08
  • .t09
  • .t10
  • .t11
  • .t12
  • .t13
  • .t14
  • .t15
  • .t99
  • .ta1
  • .ta2
  • .ta4
  • .ta5
  • .ta6
  • .ta8
  • .ta9
  • .tar
  • .tax
  • .tax0
  • .tax1
  • .tax2
  • .tb2
  • .tbk
  • .tbp
  • .tdr
  • .text
  • .tfx
  • .tga
  • .tgz
  • .tif
  • .tiff
  • .tkr
  • .tlg
  • .tom
  • .tpl
  • .trm
  • .trn
  • .tt10
  • .tt11
  • .tt12
  • .tt13
  • .tt14
  • .tt15
  • .tt20
  • .ttf
  • .txf
  • .txt
  • .u08
  • .u10
  • .u11
  • .u12
  • .uop
  • .uot
  • .v30
  • .vb
  • .vbpf
  • .vbs
  • .vcf
  • .vdf
  • .vdi
  • .vmb
  • .vmdk
  • .vmx
  • .vnd
  • .vob
  • .vsd
  • .vyp
  • .vyr
  • .wac
  • .wav
  • .wb2
  • .wi
  • .wk1
  • .wk3
  • .wk4
  • .wks
  • .wma
  • .wmf
  • .wmv
  • .wpd
  • .wpg
  • .wps
  • .x3f
  • .xaa
  • .xcf
  • .xeq
  • .xhtm
  • .xla
  • .xlam
  • .xlc
  • .xlk
  • .xll
  • .xlm
  • .xlr
  • .xls
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xml
  • .xpm
  • .xqx
  • .yuv
  • .zdb
  • .ziparc
  • .zipx
  • .zix
  • .zka

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

  • %Desktop%
  • %User Profile%\Downloads
  • %Application Data%\Microsoft\Windows\Network Shortcuts

(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .locked

マルウェアが作成する以下のファイルは、脅迫状です。

  • %Desktop%\ODSZYFRFUJ_PLIKI_TERAZ.txt

(註:%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\Desktop" です。)


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.684.02
初回 VSAPI パターンリリース日 2018年12月12日
VSAPI OPR パターンバージョン 14.685.00
VSAPI OPR パターンリリース日 2018年12月13日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Startup%\syswin32.lnk
  • %Desktop%\ODSZYFRFUJ_PLIKI_TERAZ.txt
  • %User Profile%\SystemKey.txt
  • %User Profile%\winsys.txt
  • %User Profile%\winsys2.txt
  • %User Profile%\winsys3.txt
  • %User Profile%\table.exe
  • %Temp%\1.Bat
  • %Temp%\2.Bat
  • %Temp%\3.Bat
  • %Temp%\4.Bat
  • %Temp%\admin.exe
  • %Temp%\AdobeAcrobatReader.exe
  • %Temp%\invisible.vbs
  • %Temp%\FORMA.exe
  • %Temp%\wallpaper3.bmp

手順 5

不明なレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableTaskMgr = 1

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: wallpaper = %Temp%\wallpaper3.bmp
      To: wallpaper = {value}
  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: WallpaperStyle = 2
      To: WallpaperStyle = 0

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.FORMA.THABABAH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください