• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win64.GEMINICE.A

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

マルウェアは、以下を実行します。

• It uses 7zip to archive each file into a password-protected zip file using the following command:
  • %System%\cmd.exe /c for /r% {Directory} d in ({*.jpg *.jpeg *.doc *docx *pdf *xls *xlsx *ppt *pptx *png *mp3 *txt *zip *rar *7z *mp3 *mp4}) do "C:\ProgramFiles\ 7-ZIP\7Z.EXE" a -tzip -mx0 -sdel -p23162 "% d .geminis3 ""% d"
    • Where Directory can be any of the following:
      • %User Profile%\Desktop
      • %User Profile%\Downloads
      • %User Profile%\Pictures
      • %User Profile%\Music
      • %User Profile%\Videos
      • %User Profile%\Documents
    
    
    • It archive files with the following extensions:
      • .doc
      • .jpeg
      • .jpg
    
    
    • It archive files with the following strings in their file name:
      • *7z
      • *docx
      • *pdf
      • *xls
      • *xlsx
      • *ppt
      • *pptx
      • *png
      • *mp3
      • *mp4
      • *rar
      • *txt
      • *zip
    
    
    • It deletes the file that was put into a password-protected zip file.
    
    
    • It renames the password-protected zip file to:
      • {Original Filename}\{Original Extension}.geminis3

  (註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

  ランサムウェアの不正活動

  マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

  • {Malware Directory}\README.txt
    

  ---

    対応方法

  対応検索エンジン: 9.850

  初回 VSAPI パターンバージョン 15.836.06

  初回 VSAPI パターンリリース日 2020年4月29日

  VSAPI OPR パターンバージョン 15.837.00

  VSAPI OPR パターンリリース日 2020年4月30日

  手順 1

  トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

   
  • Troj.Win32.TRX.XXPE50FFF035

  手順 2

  Windows XP、Windows Vista 、Windows 7、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

  手順 3

  このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

  手順 4

  以下のファイルを検索し削除します。

  [ 詳細 ]

  [ 戻る ]

  コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

  • {Malware Directory}\README.txt

  マルウェアのコンポーネントファイルの削除：

• Windows 2000、XP および Server 2003 の場合：
  1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
  2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
     
     • {Malware Directory}\README.txt
  3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
  5. 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。

• Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：
  1. Windowsエクスプローラ画面を開きます。
     • Windows Vista、7 および Server 2008 の場合：
       • [スタート]-[コンピューター]を選択します。
     • Windows 8、8.1 および Server 2012 の場合：
       • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
  2. [コンピューターの検索]に、以下を入力します。
     
     • {Malware Directory}\README.txt
  3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
  4. 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。
     註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。