• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.MEDUSA.THJAFAI

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、特定のフォルダ内のファイルを暗号化します。

マルウェアは、身代金要求文書（脅迫状）を作成します。

マルウェアは、以下のファイル拡張子を持つファイルの暗号化はしません。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、情報収集する機能を備えていません。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\svchostt.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• vssadmin.exe Delete Shadows /All /Quiet
• bcdedit.exe /set {default} recoveryenabled No
• bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• wbadmin DELETE SYSTEMSTATEBACKUP
• wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
• wmic.exe SHADOWCOPY /nointeractive

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {8761ABBD-7F85-42EE-B272-A76179687C63}

自動実行方法

マルウェアは、以下のサービスを開始します。

• LanmanWorkStation

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\SOFTWARE\Medusa

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0001

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Medusa
Name = {Malware File Name}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Owner = {HEX VALUES}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
SessionHash = {HEX VALUES}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
Sequence = {HEX VALUES}

HKEY_CURRENT_USER\Software\Microsoft\
RestartManager\Session0000
RegFiles0000 = {HEX VALUES}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• wrapper
• DefWatch
• ccEvtMgr
• ccSetMgr
• SavRoam
• sqlservr
• sqlagent
• sqladhlp
• Culserver
• RTVscan
• sqlbrowser
• SQLADHLP
• QBIDPService
• Intuit.QuickBooks.FCS
• QBCFMonitorService
• sqlwriter
• msmdsrv
• tomcat6
• zhudongfangyu
• SQLADHLP
• vmware-usbarbitator64
• vmware-converter
• dbsrv12
• dbeng8

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• wxServer.exe
• wxServerView
• sqlservr.exe
• sqlmangr.exe
• RAgui.exe
• supervise.exe
• Culture.exe
• RTVscan.exe
• Defwatch.exe
• sqlbrowser.exe
• winword.exe
• QBW32.exe
• QBDBMgr.exe
• qbupdate.exe
• QBCFMonitorService.exe
• axlbridge.exe
• QBIDPService.exe
• httpd.exe
• fdlauncher.exe
• MsDtSrvr.exe
• tomcat6.exe
• java.exe
• 360se.exe
• 360doctor.exe
• wdswfsafe.exe
• fdlauncher.exe
• fdhost.exe
• GDscan.exe
• ZhuDongFangYu.exe

情報漏えい

マルウェアは、情報収集する機能を備えていません。

ランサムウェアの不正活動

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• Program Files\Microsoft\Exchange Server
• Program Files (x86)\Microsoft\Exchange Server
• Program Files\Microsoft SQL Server
• Program Files (x86)\Microsoft SQL Server

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

• %User Profile%\AppData
• \ProgramData
• \Program Files
• \Program Files (x86)
• \AppData
• \Application Data
• \intel
• \nvidia
• \Users\All Users
• \Windows

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .encrypted

マルウェアが作成する以下のファイルは、脅迫状です。

• HOW_TO_RECOVER_DATA.html
  

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• .exe
• .dll
• .sys
• .ini
• .lnk
• .rdp
• .encrypted

その他

マルウェアは、以下を実行します。

• マルウェアは、権限昇格が可能です。
• マルウェアは、コンピュータ内のすべての既存ドライブに影響します。
• マルウェアは、感染コンピュータ内の位置情報が以下の場合、自身を終了します。
  • クルド中部
  • ロシア
  • アラブ諸国

マルウェアは、以下のスケジュールされたタスクを追加します。

• Task Name:svchostt
  Task Action:%Application Data%\svchostt.exe
  Task Trigger:Once installed, and every 15 minutes after indefinitely

  (註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

  注意：

  マルウェアは、脆弱性を利用した感染活動を行いません。

  ---

    対応方法

  対応検索エンジン: 9.850

  初回 VSAPI パターンバージョン 15.434.04

  初回 VSAPI パターンリリース日 2019年10月16日

  VSAPI OPR パターンバージョン 15.435.00

  VSAPI OPR パターンリリース日 2019年10月17日

  手順 1

  トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

   
  • Troj.Win32.TRX.XXPE50FFF032

  手順 2

  Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

  手順 3

  「Ransom.Win32.MEDUSA.THJAFAI」で検出したファイル名を確認し、そのファイルを終了します。

  [ 詳細 ]

  [ 戻る ]

  
  

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

  マルウェアのプロセス終了：

  1. 最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行し、検出したマルウェアのファイル名を確認し、メモ等をとってください。
  2. タスクマネージャを起動します。
     • Windows 2000、XP、Server 2003 、Vista、7 および Server 2008の場合、CTRL+SHIFT+ESCを押し、[プロセス]タブをクリックします。
     • Windows 8、8.1および Server 2012の場合、 [詳細]タブをクリックします。
  3. 実行中のプログラムのリストから、上記で検出したマルウェアのファイルを選択します。
  4. 使用しているWindowsのバージョンに応じて、[タスクの終了]、または、[プロセスの終了]をクリックします。
  5. 同様の手順で、上記で確認したマルウェアのファイルをすべて終了してください。
  6. マルウェアのプロセスが終了されているかを確認するには、タスクマネージャを閉じ、再度開いてください。
  7. タスクマネージャを閉じてください。

  手順 4

  不明なレジストリキーを削除します。

  [ 詳細 ]

  [ 戻る ]

  警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
  レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
  レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\SOFTWARE\Medusa
    • = ""
      

  このマルウェアが追加したレジストリキーの削除：

  1. 「レジストリエディタ」を起動します。
     • Windows 2000、XP および Server 2003 の場合
       [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
     • Windows Vista、7 および Server 2008 の場合：
       [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
     • Windows 8、8.1 および Server 2012 の場合：
       画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
     ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
     HKEY_CURRENT_USER>SOFTWARE>Medusa
  3. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
     = ""
  4. 「レジストリエディタ」を閉じます。

  手順 5

  変更されたレジストリ値を修正します。

  [ 詳細 ]

  [ 戻る ]

  警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
  レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
  レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: EnableLUA = 0
      To: EnableLUA = {Default Value}
      
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: ConsentPromptBehaviorAdmin = 0
      To: ConsentPromptBehaviorAdmin = {Default Value}
      
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • From: EnableLinkedConnections = 1
      To: EnableLinkedConnections = {Default Value}
      

  変更されたレジストリ値の修正：

  1. 「レジストリエディタ」を起動します。
     • Windows 2000、XP および Server 2003 の場合：
       [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
     • Windows Vista、7 および Server 2008 の場合：
       [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
     • Windows 8、8.1 および Server 2012 の場合：
       画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
     ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
     HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Policies>System
  3. 右側のパネルで以下のレジストリ値を検索します。
     EnableLUA = 0
  4. [値の名前]上で右クリックし、[修正]または[変更]を選択します。 [文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
     EnableLUA = {Default Value}
  5. 再び、右側のパネルで以下のレジストリ値を検索します。
     ConsentPromptBehaviorAdmin = 0
  6. [値の名前]上で右クリックし、[修正]または[変更]を選択します。 [文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
     ConsentPromptBehaviorAdmin = {Default Value}
  7. 再び、右側のパネルで以下のレジストリ値を検索します。
     EnableLinkedConnections = 1
  8. [値の名前]上で右クリックし、[修正]または[変更]を選択します。 [文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
     EnableLinkedConnections = {Default Value}
  9. レジストリエディタを閉じます。

  手順 6

  スケジュールされたタスクを削除する

  タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

  • svchostt = "%Application Data%\svchostt.exe"

  Windows 2000、Windows XP、Windows Server 2003の場合：

  1. [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
  2. 上記の{タスク名} を、[名前]の欄に入力します。
  3. 入力した{タスク名} 持つファイルを右クリックします。
  4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
  5. 上記の{実行するタスク}と文字列が一致するタスクを削除します。

  Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合：

  1. Windowsタスクスケジューラを開きます。
     • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
     • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
  2. 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
  3. 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
  4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
  5. 文字列が一致するタスクを削除します。

  手順 7

  最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.MEDUSA.THJAFAI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

  
  ご利用はいかがでしたか？　アンケートにご協力ください