Ransom.Win32.RYUK.THGOEAI
Ransom:Win64/Ryuk.PA!MTB (Microsoft)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Public%\sys
- %Public%\PUBLIC
- %Public%\UNIQUE_ID_DO_NOT_REMOVE
(註:%Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- back
- xchange
- ackup
- acronis
- sql
- enterprise
- sophos
- veeam
- acrsch
- antivirus
- bedbg
- dcagent
- epsecurity
- epupdate
- eraser
- esgshkernel
- fa_scheduler
- iisadmin
- imap4
- mbam
- endpoint
- afee
- mcshield
- task
- mfemms
- mfevtp
- mms
- msdts
- exchange
- ntrt
- pdvf
- pop3
- report
- resvc
- sacsvr
- savadmin
- sams
- sdrsvc
- sepmaster
- monitor
- smcinst
- smcservice
- smtp
- snac
- swi_
- ccsf
- truekey
- tmlisten
- ui0detect
- w3s
- wrsvc
- netmsmq
- ekrn
- ehttpsrv
- eshasrv
- avp
- klnagent
- wbengine
- kavf
- mfefire
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- backup
- xchange
- sql
- dbeng
- sofos
- calc
- ekrn
- zoolz
- encsvc
- excel
- firefoxconfig
- infopath
- msaccess
- mspub
- mydesktop
- ocautoupds
- ocomm
- ocssd
- onenote
- oracle
- outlook
- powerpnt
- sqbcoreservice
- steam
- synctime
- tbirdconfig
- thebat
- thunderbird
- visio
- word
- xfssvccon
- tmlisten
- pccntmon
- cntaosmgr
- ntrtscan
- mbamtray
ランサムウェアの不正活動
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .RYK
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\RyukReadMe.html
対応方法
手順 1
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %System Root%\users\Public\sys
- %System Root%\users\Public\PUBLIC
- %System Root%\users\Public\UNIQUE_ID_DO_NOT_REMOVE
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.RYUK.THGOEAI」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください