• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.STOP.GF

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• %System Root%\SystemID
• %AppDataLocal%\{GUID}

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のファイルを作成します。

• %AppDataLocal%\{GUID}\{Malware Name}.exe
• %AppDataLocal%\bowsakkdestx.txt
• %AppDataLocal%\{GUID}\build2.exe → Deleted Afterwards
• %AppDataLocal%\{GUID}\build3.exe
• %Application Data%\Microsoft\Network\mstsca.exe
• %ProgramData%\vcruntime140.dll
• %ProgramData%\softokn3.dll
• %ProgramData%\nss3.dll
• %ProgramData%\msvcp140.dll
• %ProgramData%\mozglue.dll
• %ProgramData%\freebl3.dll
• %ProgramData%\{Random Numbers} → Deleted Afterwards
• %System Root%\SystemID\PersonalID.txt
• %Temporary Internet Files%\Content.IE5\YEFGVF95\get[1].php → Deleted Afterwards
• %Temporary Internet Files%\Content.IE5\YEFGVF95\build2[1].exe → Deleted Afterwards
• %Temporary Internet Files%\Content.IE5\YEFGVF95\build3[1].exe → Deleted Afterwards
• %Temporary Internet Files%\Content.IE5\YEFGVF95\49_12_117_107[1].txt

マルウェアは、以下のプロセスを追加します。

• icalcs "%AppDataLocal%\{GUID}" /deny *S-1-1-0:(OI)(CI)(DE,DC)
• %AppDataLocal%\{GUID}\build2.exe
• %AppDataLocal%\{GUID}\build3.exe
• %System%\schtasks.exe /C /create /F /sc minute /mo 1 /tn "Azure-Update-Task" /tr "%Application Data%\Microsoft\Network\mstsca.exe"

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SysHelper = "%AppDataLocal%\{GUID}\{Malware Filename}.exe" –AutoStart

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
SysHelper = 1

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}y.top/dl/build2.exe
• http://{BLOCKED}q.com/files/1/build3.exe
• http://{BLOCKED}q.com/test2/get.php?pid={hash}%first=true
• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.107/download.zip

情報漏えい

マルウェアは、以下の情報を収集します。

• IP Address
• MAC Address
• Computer Name
• Username

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• https://{BLOCKED}p.ua/geo.json
  • It terminates and deletes itself on the affected system if the return of the IP address location is any of the following:
  • RU (Russia)
  • BY (Belarus)
  • UA (Ukraine)
  • AZ (Azerbaijan)
  • AM (Armenia)
  • TJ (Tajikistan)
  • KZ (Kazakhstan)
  • KG (Kyrgyzstan)
  • UZ (Uzbekistan)
  • SY (Syrian Arab Republic)

  マルウェアは、以下の不正なWebサイトにアクセスします。

  • t.me
  • https://{BLOCKED}ommunity.com/profiles/76561199472266392

  マルウェアは、以下のパラメータを受け取ります。

  • --Admin → runs the malware as admin
  • --AutoStart → executes using autorun registry keys
  • IsAutoStart/IsNotAutoStart → malware run based on the Run registry key or not
  • IsTask/IsNotTask → malware run based on the schedules task or not
  • --ForNetRes {argument/s from URL}
  • --Service {PID of parent malware} {argument/s from URL}

  以下のスケジュールされたタスクを追加します：

  • Task Name: Time Trigger Task
    Task Action: %AppDataLocal%\{GUID}\{Malware Filename}.exe –Task
  • Task Name: Azure-Update-Task
    Task Action: %Application Data%\Microsoft\Network\mstsca.exe

  (註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

  ランサムウェアの不正活動

  マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

  • {Original Filename}.{Original Extension}.dapo

  マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Directory}\_readme.txt
    

  ---

    対応方法

  対応検索エンジン: 9.800

  手順 1

  トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

   TROJ.Win32.TRX.XXPE50FFF066

  手順 2

  Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

  手順 3

  このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

  手順 4

  Windowsをセーフモードで再起動します。

  [ 詳細 ]

  [ 戻る ]

  セーフモードでの起動：

  • Windows 2000 の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows XP の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows Server 2003 の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows Vista、Windows 7 および Windows Server 2008 の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows 8、8.1 および Server 2012の場合：

  1. 画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
  2. マウスで、[設定]－[PC設定の変更]を選択します。
  3. 左側のパネルで、[全般]を選択します。
  4. 右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
  5. [オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
  6. [スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

  • Windows 10 の場合：

  1. キーボードの「Windowsロゴ」キーおよび「（アルファベットの）i」キーを押して「設定」を開きます。これで開かない場合は「スタート」ボタンをクリックして「設定」を選択します。
  2. 「更新とセキュリティ」→「回復」を選択します。
  3. 「詳細起動」下にある「今すぐ再起動」を選択します。
  4. 再起動後、「オプションの選択」画面で「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」→「再起動」を選択します。
  5. 再起動後、「オプションを選択するには、番号を押してください」が表示されます。「4)」を選択するか「F4」キーを押して、セーフモードで起動します。

  手順 5

  このレジストリ値を削除します。

  [ 詳細 ]

  [ 戻る ]

  警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
  レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
  レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • SysHelper = %AppDataLocal%\{GUID}\{Malware Filename}.exe –AutoStart
      

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
    • SysHelper = 1
      

  
  

  このマルウェアが追加したレジストリ値の削除：

  1. 「レジストリエディタ」を起動します。
     [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
     ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  3. 右側のパネルで以下のレジストリ値を検索し、削除します。
     SysHelper = %AppDataLocal%\{GUID}\{Malware Filename}.exe –AutoStart
  4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
  5. 右側のパネルで以下のレジストリ値を検索し、削除します。
     SysHelper = 1
  6. 「レジストリエディタ」を閉じます。

  手順 6

  スケジュールされたタスクを削除する

  タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

  • Time Trigger Task - %AppDataLocal%\{GUID}\{Malware Filename}.exe –Task
  • Azure-Update-Task - %Application Data%\Microsoft\Network\mstsca.exe

  
  

  Windows 2000、Windows XP、Windows Server 2003の場合：

  1. [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
  2. 上記の{タスク名} を、[名前]の欄に入力します。
  3. 入力した{タスク名} 持つファイルを右クリックします。
  4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
  5. 上記の{実行するタスク}と文字列が一致するタスクを削除します。

  Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合：

  1. Windowsタスクスケジューラを開きます。
     • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
     • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
  2. 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
  3. 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
  4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
  5. 文字列が一致するタスクを削除します。

  手順 7

  以下のファイルを検索し削除します。

  [ 詳細 ]

  [ 戻る ]

  コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  

  • %AppDataLocal%\{GUID}\{Malware Name}.exe
  • %AppDataLocal%\bowsakkdestx.txt
  • %AppDataLocal%\{GUID}\build2.exe → Deleted Afterwards
  • %AppDataLocal%\{GUID}\build3.exe
  • %Application Data%\Microsoft\Network\mstsca.exe
  • %ProgramData%\vcruntime140.dll
  • %ProgramData%\softokn3.dll
  • %ProgramData%\nss3.dll
  • %ProgramData%\msvcp140.dll
  • %ProgramData%\mozglue.dll
  • %ProgramData%\freebl3.dll
  • %ProgramData%\{Random Numbers} → Deleted Afterwards
  • %System Root%\SystemID\PersonalID.txt
  • %Temporary Internet Files%\Content.IE5\YEFGVF95\get[1].php → Deleted Afterwards
  • %Temporary Internet Files%\Content.IE5\YEFGVF95\build2[1].exe → Deleted Afterwards
  • %Temporary Internet Files%\Content.IE5\YEFGVF95\build3[1].exe → Deleted Afterwards
  • %Temporary Internet Files%\Content.IE5\YEFGVF95\49_12_117_107[1].txt

  
  

  マルウェアのコンポーネントファイルの削除：

• Windows 2000、XP および Server 2003 の場合：
  1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
  2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
     
     • %AppDataLocal%\{GUID}\{Malware Name}.exe
     • %AppDataLocal%\bowsakkdestx.txt
     • %AppDataLocal%\{GUID}\build2.exe → Deleted Afterwards
     • %AppDataLocal%\{GUID}\build3.exe
     • %Application Data%\Microsoft\Network\mstsca.exe
     • %ProgramData%\vcruntime140.dll
     • %ProgramData%\softokn3.dll
     • %ProgramData%\nss3.dll
     • %ProgramData%\msvcp140.dll
     • %ProgramData%\mozglue.dll
     • %ProgramData%\freebl3.dll
     • %ProgramData%\{Random Numbers} → Deleted Afterwards
     • %System Root%\SystemID\PersonalID.txt
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\get[1].php → Deleted Afterwards
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\build2[1].exe → Deleted Afterwards
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\build3[1].exe → Deleted Afterwards
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\49_12_117_107[1].txt
  3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
     註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

• Windows Vista、7、Server 2008、8、8.1、10 および Server 2012 の場合：
  1. Windowsエクスプローラ画面を開きます。
     • Windows Vista、7 および Server 2008 の場合：
       • [スタート]-[コンピューター]を選択します。
     • Windows 8、8.1、10 および Server 2012 の場合：
       • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
  2. [コンピューターの検索]に、以下を入力します。
     
     • %AppDataLocal%\{GUID}\{Malware Name}.exe
     • %AppDataLocal%\bowsakkdestx.txt
     • %AppDataLocal%\{GUID}\build2.exe → Deleted Afterwards
     • %AppDataLocal%\{GUID}\build3.exe
     • %Application Data%\Microsoft\Network\mstsca.exe
     • %ProgramData%\vcruntime140.dll
     • %ProgramData%\softokn3.dll
     • %ProgramData%\nss3.dll
     • %ProgramData%\msvcp140.dll
     • %ProgramData%\mozglue.dll
     • %ProgramData%\freebl3.dll
     • %ProgramData%\{Random Numbers} → Deleted Afterwards
     • %System Root%\SystemID\PersonalID.txt
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\get[1].php → Deleted Afterwards
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\build2[1].exe → Deleted Afterwards
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\build3[1].exe → Deleted Afterwards
     • %Temporary Internet Files%\Content.IE5\YEFGVF95\49_12_117_107[1].txt
  3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
     註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。