Ransom.Win32.SFILE.SM

2023年3月27日

解析者: Francesca Villasanta

更新者 : Jayvee Mark Villaroman

別名:

VHO:Trojan-Ransom.Win32.Encoder.gen (KASPERSKY); VirTool:Win32/Injector.FU (MICROSOFT)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 308,224 bytes

タイプ EXE

メモリ常駐なし

発見日 2023年3月21日

ペイロードファイルの暗号化, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

vssadmin.exe Delete Shadows /All /Quiet

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

Firebird
MSSQL
SQL
Exchange
wsbex
postgresql
BACKP
tomcat
SharePoint
SBS

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

fb_inet_server.exe
sqlservr.exe
pg_ctl.exe

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

.$$$
.$db
.$er
.001
.002
.003
.113
.123
.123c
.123d
.123dx
.12m
.1st
.2d
.3dc
.3dl
.3w
.4db
.4dd
.4dl
.4th
.602
.73b
.^^^
.__a
.__b
._doc
._docx
._xls
._xlsx
.a2l
.a2w
.ab
.aba
.abbu
.abc
.abcddb
.abf
.abk
.abs
.abu
.abu1
.abw
.abx
.accdb
.accdc
.accde
.accdr
.accdt
.accdw
.accft
.acd
.acp
.acr
.act
.adb
.addin
.ade
.adf
.adi
.adn
.adoc
.adp
.ads
.adt
.aea
.afd
.afi
.afs
.agi
.aim
.alb
.alf
.am4
.am5
.am6
.am7
.ane
.ans
.any
.apa
.apkg
.appx
.appxbundle
.appxupload
.aps
.apt
.arc
.ard
.arsc
.art
.artproj
.as
.as2proj
.as3proj
.as4
.asc
.ascii
.asd
.ase
.ashbak
.asi
.ask
.asm
.ast
.asv
.asvf
.asvx
.asy
.ate
.ati
.att
.aty
.au3
.autoplay
.awk
.awp
.aws
.awt
.aww
.ba6
.ba7
.ba8
.ba9
.bac
.backup
.backupdb
.bad
.bak
.bak2
.bak3
.bakx
.bak~
.bas
.bb
.bbb
.bbc
.bbcd
.bbproject
.bbprojectd
.bbs
.bbz
.bcd
.bck
.bckp
.bcm
.bcp
.bdb
.bdc
.bdl
.bdp
.bdr
.bdsproj
.bean
.bet
.bff
.bib
.bibtex
.bif
.bifx
.bimx
.bit
.bk1
.bkc
.bkf
.bkp
.bks
.bkup
.bkz
.blend1
.blend2
.blk
.bluej
.bm3
.bmf
.bmk
.bml
.bna
.boc
.bookexport
.bpa
.bpb
.bpg
.bpl
.bpm
.bpmc
.bpn
.bps
.bpz
.brd
.brx
.bs2
.bsc
.bsw
.bswx
.btd
.btr
.bup
.bxl
.bzabw
.caa
.cad
.caf
.calca
.cam
.caproj
.capx
.cat
.catdrawing
.catpart
.catproduct
.cbk
.cbl
.cbp
.cbs
.cbu
.cc
.ccgame
.ccn
.ccs
.cd
.cdb
.cddx
.cdf
.cdl
.cdw
.cel
.cell
.cenon~
.cf2
.cfc
.cff
.cgr
.charset
.chord
.cib
.circuit
.ck9
.ckd
.ckp
.class
.clips
.cls
.clw
.cma
.cmf
.cmp
.cnc
.cnd
.cnm
.cob
.cod
.config
.cp
.cpa
.cpd
.cpp
.crds
.crv
.crwl
.crypt12
.crypt5
.crypt6
.crypt7
.crypt8
.crypt9
.cs
.csd
.csi
.csm
.csn
.csp
.csproj
.csx
.ctl
.ctp
.ctxt
.cu
.cvsrc
.cws
.cxp
.cxx
.cyi
.cyp
.czd
.da0
.daconnections
.dacpac
.dad
.dadiagrams
.daschema
.dash
.db
.db-journal
.db-shm
.db-wal
.db.crypt
.db.crypt12
.db.crypt8
.db1
.db2
.db3
.dba
.dbc
.dbf
.dbk
.dbml
.dbo
.dbpro
.dbproj
.dbq
.dbs
.dbt
.dbv
.dbx
.dc
.dc1
.dc2
.dc3
.dca
.dcb
.dcd
.dcp
.dcproj
.dct
.dcu
.dcuil
.dcx
.ddl
.dec
.def
.del
.des
.deviceids
.dex
.df1
.dfg
.dfm
.dft
.dfti
.dfx
.dgb
.dgk
.dgml
.dgn
.dgs
.dgsl
.diff
.dim
.dis
.diy
.diz
.dlis
.dlv
.dlx
.dm1
.dmd
.dna
.dne
.dob
.doc
.docm
.docx
.docxml
.docz
.dov
.dox
.dp1
.dpb
.dpk
.dpkw
.dpl
.dpr
.dproj
.dqy
.dra
.drg
.dropbox
.dru
.drw
.drwdot
.dsb
.dsc
.dsg
.dsgm
.dsk
.dsn
.dsp
.dss
.dst
.dtd
.dtsx
.dvg
.dvi
.dwd
.dwfx
.dwg
.dws
.dwt
.dx
.dxb
.dxe
.dxf
.dxl
.dxp
.dxx
.easm
.eco
.ecx
.edb
.edf
.edml
.edmx
.edn
.edrw
.edx
.edxz
.eio
.eit
.eld
.emf
.eml
.emlx
.emulecollection
.ent
.entitlements
.epf
.epim
.epp
.eprt
.eql
.eqn
.erb
.erl
.err
.erx
.ess
.etf
.etx
.euc
.ewb
.ewd
.ex
.exb
.exp
.exw
.ezc
.ezp
.f90
.fadein.template
.fan
.fbc
.fbf
.fbk
.fbl
.fbp
.fbu
.fbw
.fcd
.fcf
.fcs
.fcstd
.fcstd1
.fcw
.fdb
.fdf
.fdr
.fds
.fdt
.fdx
.fdxt
.fft
.fgl
.fgs
.fh
.fhf
.fic
.fla
.flexolibrary
.flka
.flkb
.flr
.flx
.fm
.fm5
.fmp
.fmp12
.fmpsl
.fmz
.fnc
.fods
.fodt
.fol
.for
.forth
.fountain
.fp
.fp3
.fp4
.fp5
.fp7
.fpd
.fpm
.fpp
.fpsx
.fpt
.framework
.frm
.frt
.frx
.fs
.fsi
.fsproj
.fsscript
.fsx
.ftl
.ftmb
.ftn
.ful
.fwbackup
.fwdn
.fxc
.fxcproj
.fxl
.fxml
.fxpl
.fz
.fza
.fzb
.fzm
.fzp
.g3d
.gameproj
.gb1
.gb2
.gbp
.gbx
.gcd
.gch
.gcode
.gdb
.gds
.ged
.gem
.gemspec
.geo
.gfar
.gho
.ghs
.ginspect_prj
.gitattributes
.gitignore
.gld
.gm6
.gm81
.gmd
.gmk
.gmo
.gmx
.gnm
.gnumeric
.gorm
.gpd
.gpn
.grdb
.greenfoot
.groovy
.groupproj
.gs
.gs-bck
.gs3
.gsd
.gsheet
.gsm
.gsproj
.gszip
.gthr
.gv
.gwi
.gxc
.gxd
.gxh
.gxm
.hal
.haml
.has
.hbk
.hbs
.hcdt
.hcp
.hdb
.hh
.hht
.highland
.his
.hpf
.hpp
.hs
.hsc
.hsf
.hus
.hwp
.hxx
.hz
.iam
.ib
.iba
.ibk
.ic3d
.icbu
.icd
.icf
.idb
.ide
.idl
.idt
.idv
.idw
.if
.ifcxml
.ifczip
.igs
.ihx
.iil
.ilk
.iml
.imp
.in
.inc
.inl
.ino
.inprogress
.ipch
.ipd
.ipf
.ipj
.ipn
.ipr
.ipspot
.ipt
.ise
.ism
.ist
.itdb
.itw
.iv2i
.iwb
.iws
.j01
.jam
.jarvis
.java
.jbc
.jbk
.jdc
.jet
.jic
.jis
.jnp
.job
.joe
.jp1
.jpa
.jpr
.jps
.jpx
.jrtf
.js
.jsfl
.json
.jspf
.jt
.jtd
.jtx
.jvsg
.jvsgz
.kb2
.kdb
.kdevelop
.kdevprj
.kes
.kexi
.kexic
.kexis
.kit
.klg
.knt
.kon
.kpl
.kwd
.l3b
.latex
.lbf
.lbi
.lbs
.lbt
.lcb
.lcf
.ldabak
.ldr
.lds
.ldt
.lgc
.lgo
.lhs
.li3d
.lia
.license
.licenses
.licx
.lin
.lis
.lisp
.lit
.livecode
.lizd
.llx
.lnt
.logicly
.lp2
.lproj
.lsproj
.lst
.ltb
.ltl
.ltr
.ltx
.lua
.lucidsnippet
.lue
.luf
.lwp
.lwx
.lxfml
.lxsproj
.lyc
.lyr
.lyt
.lyx
.m4
.maf
.magik
.mak
.man
.maq
.mar
.markdown
.marshal
.mas
.mav
.maw
.mbf
.mbk
.mbox
.mbw
.mc9
.mcd
.mcp
.mcw
.mcx
.md
.mdb
.mdbackup
.mdbhtml
.mddata
.mdf
.mdinfo
.mdl
.mdn
.mdt
.mdzip
.mell
.mellel
.mem
.mer
.mf
.mfa
.mfd
.mhs
.mig
.min
.mk
.ml
.mm
.mmg
.mnt
.mo
.model
.modfem
.mom
.mp10
.mp11
.mp12
.mp13
.mp14
.mp7
.mp8
.mp9
.mpb
.mpd
.mpr
.mpx
.mrg
.mrt
.ms11
.ms12
.ms13
.ms14
.ms7
.ms9
.msg
.msha
.mshc
.mshi
.msim
.msix
.msl
.msm
.mss
.mto
.mud
.mv
.mv_
.mvs
.mw
.mwb
.mwd
.mwp
.mxml
.myapp
.myd
.mynotesbackup
.nb
.nb7
.nba
.nbak
.nbc
.nbd
.nbf
.nbi
.nbk
.nbs
.nbu
.nc
.nc1
.ncb
.nco
.ncss
.nda
.ndf
.ndoc
.ned
.neko
.neu
.nfb
.nfc
.nfm
.nfo
.ngc
.ngd
.ngloss
.nib
.njx
.nk
.nmbtemplate
.nnt
.noext
.note
.notes
.now
.noy
.npf
.npl
.nps
.nqc
.nrbak
.nrmlib
.nrs
.ns2
.ns3
.ns4
.nsf
.nsh
.nsi
.numbers
.numbers-tef
.nupkg
.nuspec
.nv
.nv2
.nvv
.nw
.nwbak
.nwc
.nwctxt
.nwd
.nwdb
.nwf
.nwm
.nwp
.nxc
.nyf
.obk
.oca
.ocr
.octest
.odb
.odif
.odl
.odm
.odo
.ods
.odt
.oeb
.ofl
.ogw
.ogwu
.olb
.omo
.onepkg
.opeico
.openbsd
.opj
.opt
.oqy
.ora
.ori
.orig
.ort
.orx
.ots
.ott
.owc
.owl
.oyx
.p3d
.p7s
.p96
.p97
.pages
.pages-tef
.pan
.paq
.pas
.pat
.patch
.pb
.pba
.pbb
.pbd
.pbf
.pbg
.pbj
.pbk
.pbx5script
.pbxbtree
.pbxproj
.pbxscript
.pbxuser
.pc6
.pc7
.pch
.pcp
.pcs
.pde
.pdm
.pdpcmd
.pfi
.pfx
.ph
.phj
.pho
.pika
.pipd
.pipe
.pjx
.pkgdef
.pkgundef
.pl
.pl1
.pla
.plain
.plantuml
.playground
.plc
.ple
.pli
.pln
.pm
.pm3
.pmd
.pmdx
.pmo
.pmv
.pmvx
.pnz
.po
.pod
.pot
.ppc
.pqb
.pqb-backup
.prg
.pri
.pro
.proto
.prt
.prv
.psa
.psc
.psf
.psm
.psm1
.pss
.psu
.psv
.psw
.ptb
.ptl
.pu
.pvc
.pvhd
.pvj
.pvm
.pwd
.pwdp
.pwdpl
.pwi
.pwn
.pwr
.pwt
.pxd
.py
.pyd
.pyw
.pyx
.qba.tlg
.qbb
.qbk
.qbm
.qbmb
.qbmd
.qbx
.qdl
.qic
.qpf
.qpm
.qpr
.qpw
.qry
.qsf
.qualsoftcode
.quicken2015backup
.quicken2016backup
.quicken2017backup
.quickenbackup
.quid
.qvd
.qv~
.rad
.rav
.rb
.rbc
.rbf
.rbk
.rbp
.rbs
.rbw
.rbxl
.rbxm
.rc
.rc2
.rcd
.rctd
.rcv
.rdb
.rdf
.rdlc
.red
.refresh
.res
.resjson
.resources
.resw
.resx
.rexx
.rft
.rgmb
.rig
.ris
.rise
.rkt
.rmbak
.rml
.rnc
.rod
.rodl
.rodx
.rpd
.rpt
.rpy
.rra
.rrr
.rs
.rsd
.rsg
.rsm
.rsrc
.rss
.rst
.rtd
.rtf
.rtfd
.rtx
.rul
.run
.rvf
.rzk
.rzn
.s19
.sab
.saf
.safenotebackup
.safetext
.sam
.sas
.sas7bdat
.sat
.sav
.save
.sb
.sb2
.sb3
.sbb
.sbf
.sbp
.sbproj
.sbs
.sbu
.sc
.scad
.scc
.scdoc
.sch
.scm
.scriptsuite
.scriptterminology
.scriv
.scrivx
.sct
.scw
.scx
.sdb
.sdc
.sdef
.sdf
.sdg
.sdm
.sdoc
.sdw
.se
.session
.sew
.sgm
.sh
.shx
.sig
.sim
.sis
.skb
.skcard
.skf
.sla
.sla.gz
.sldasm
.slddrw
.sldprt
.sln
.slogo
.sltng
.sma
.smali
.sme
.smf
.smg
.sms
.sn1
.sn2
.sna
.snippet
.sns
.spec
.spf
.spg
.spi
.spq
.sps
.spt
.sqb
.sql
.sqlite
.sqlite3
.sqlitedb
.sqlproj
.src
.src.rpm
.srr
.ss
.ssa
.ssc
.ssi
.stc
.stg
.stl
.story
.strings
.stw
.sty
.sublime-project
.sublime-workspace
.sud
.suo
.sup
.sv$
.sv2i
.svd
.svn-base
.swc
.swd
.swift
.sxc
.sxg
.sxw
.sym
.sza
.t3001
.tab
.tak
.targets
.tbk
.tbp
.tc2
.tc3
.tcd
.tcl
.tcm
.tcp
.tct
.tcw
.tcx
.tdb
.tdf
.tds
.te
.teacher
.template
.temx
.testrunconfig
.testsettings
.tex
.text
.textclipping
.textfactory
.thp
.tibkp
.tiff
.tig
.tis
.tk
.tlb
.tld
.tlg
.tlh
.tli
.tm
.tmd
.tmdx
.tmlanguage
.tmr
.tmv
.tmvt
.tmvx
.tns
.top
.topprj
.topviw
.tpc
.tps
.tpu
.trc
.trelby
.trm
.trn
.trx
.tsc
.tsf
.tt
.ttbk
.tu
.tur
.tvj
.twig
.txt
.u3i
.uci
.udb
.udl
.ui
.uld
.uml
.unauth
.unt
.unx
.uof
.uos
.uot
.upd
.upf
.usr
.utf8
.utxt
.v11.suo
.v12
.v12.suo
.v2i
.vb
.vbg
.vbk
.vbm
.vbox-prev
.vbp
.vbproj
.vbx
.vbz
.vc
.vcp
.vcproj
.vct
.vcxproj
.vdm
.vdp
.vdproj
.vet
.vgc
.vhd
.vis
.vm
.vnd
.vnt
.vpcbackup
.vpd
.vrb
.vsmacros
.vsmdi
.vsmproj
.vsp
.vsps
.vspscc
.vspx
.vssscc
.vsz
.vtf
.vtm
.vtml
.vtv
.vvv
.vw
.vwx
.w01
.w32
.walletx
.wbb
.wbcat
.wbk
.wdb
.wdf
.wdgt
.wdgtproj
.wdl
.wdp
.wdw
.webdoc
.win
.wiq
.wixlib
.wixmsp
.wixmst
.wixobj
.wixout
.wixpdb
.wixproj
.wjf
.wki
.wkq
.wks
.wku
.wmdb
.wn
.workspace
.wp
.wp4
.wp5
.wp6
.wp7
.wpa
.wpb
.wpd
.wpl
.wps
.wpt
.wpw
.wq1
.wq2
.wr1
.wri
.wrk
.wsc
.wsd
.wsp
.wspak
.wtt
.wtx
.wx
.wxi
.wxl
.wxs
.x_b
.x_t
.xaml
.xamlx
.xap
.xar
.xbdoc
.xbk
.xbplate
.xcappdata
.xcarchive
.xcconfig
.xcdatamodeld
.xcodeproj
.xcsnapshots
.xcworkspace
.xdb
.xdl
.xib
.xise
.xl
.xld
.xlk
.xlr
.xls
.xlsb
.xlshtml
.xlsm
.xlsmhtml
.xlsx
.xlthtml
.xltm
.xltx
.xmlff
.xnc
.xojo_binary_project
.xojo_menu
.xojo_project
.xojo_xml_project
.xoml
.xpp
.xq
.xql
.xqm
.xquery
.xsd
.xt
.xv3
.xwp
.xy
.xy3
.xyp
.xyw
.yaml
.yml
.ymp
.ypr
.yrcbck
.zabw
.zbfx
.zrtf
.zw
.~cw

マルウェアは、以下を実行します。

Retrieves information from the active window
View user clipboard
Enumerate drives on the system
Impersonate user tokens
Elevate user privileges
Encrypts all drives from A to F in the affected system

マルウェアは、以下のパラメータを受け取ります。

--kill-susp <- trigger process termination
--enable-shares <- encrypts network shares

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

autorun.inf
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
bootmgr
!losttrustencoded.txt
! cynet ransom protection(don't delete)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.losttrustencoded

マルウェアが作成する以下のファイルは、脅迫状です。

%Desktop%\!LostTrustEncoded.txt
{Encrypted Directory}\!LostTrustEncoded.txt
$Ransom Note$

以下のファイル拡張子を持つファイルについては暗号化しません：

.exe
.dll
.ocx
.ani
.cab
.cpl
.cur
.diagcab
.diagpkg
.drv
.hlp
.icl
.icns
.ico
.ics
.lnk
.idx
.mod
.mpa
.msc
.msp
.msstyles
.msu
.nomedia
.prf
.rom
.rtp
.scr
.shs
.spl
.sys
.theme
.themepack
.deskthemepack
.bat
.cmd
.url
.mui
.inf
.pf
.ntldr
.nls
.hta
.ax
.msi
.mst
.iso
.losttrustencoded

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 18.178.05

初回 VSAPI パターンリリース日 2023年1月6日

VSAPI OPR パターンバージョン 18.179.00

VSAPI OPR パターンリリース日 2023年1月7日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

TROJ.Win32.TRX.XXPE50FFF066

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Ransom.Win32.SFILE.SM として検出されたファイルを検索し削除します。

[ 詳細 ]

註：このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

マルウェアのファイルの手動削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に上記で確認したファイル名を入力してください。
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、この不正なコンポーネントファイルの上記の手順 2.）から 4.）を繰り返してください。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、上記で確認したファイル名を入力します。
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、この不正なコンポーネントファイルの上記の手順 2.）から 3.）を繰り返してください。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.SFILE.SM」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

暗号化されたファイルをバックアップから復元します。

ご利用はいかがでしたか？　アンケートにご協力ください