Ransom.Win64.KAKTOS.A
UDS:Trojan-Ransom.Win32.Cactus.a (KASPERSKY)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %ProgramData%\{Victim's ID}.exe ← Dropped copy
- %ProgramData%\ntuser.dat ← Configuration file
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
マルウェアは、以下のプロセスを追加します。
- vssadmin.exe delete shadows /all /quiet
- WMIC.exe shadowcopy delete
- bcdedit.exe /set {default} bootstatuspolicy ignorefailures
- bcdedit.exe /set {default} recoveryenabled no
- schtasks.exe /create /sc MINUTE /mo 5 /rl HIGHEST /ru SYSTEM /tn \"Updates Check Task" "\" /tr \"cmd /c cd C:\ProgramData &&"
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {Victim's ID}cAcTuS
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- backup
- gxblr
- gxcimgr
- gxcvd
- gxfwd
- gxvss
- memtas
- mepocs
- msexchange
- phonesvc
- sophos
- sql
- svc$
- veeam
- vss
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- agntsvc.exe
- agntsvc.exe
- cssd.exe
- dbeng50.exe
- dbeng5o.exe
- dbsnmp.exe
- encsvc.exe
- encsvc.exe
- excel.exe
- firefox.exe
- firefoxconfig.exe
- infopath.exe
- isqlplussvc.exe
- msaccess.exe
- mspub.exe
- mydesktopqos.exe
- mydesktopservice.exe
- mysqld.exe
- mysqld-nt.exe
- mysqld-opt.exe
- notepad.exe
- ocautoupds.exe
- ocomm.exe
- onenote.exe
- oracle.exe
- outlook.exe
- powerpnt.exe
- sftesql.exe
- sqbcoreservice.exe
- sql.exe
- sqlagent.exe
- sqlbr0owser.exe
- sqlservr.exe
- sqlwriter.exe
- steam.exe
- synctime.exe
- tbirdconfig.exe
- thebat.exe
- thunderbird.exe
- visio.exe
- winword.exe
- wordpad.exe
- xfssvccon.exe
その他
マルウェアは、以下を実行します。
- It encrypts all available drives except CD/DVD drives.
- It replaces the original source file with the encrypted version.
マルウェアは、以下のパラメータを受け取ります。
- -r ← reads %ProgramData%\ntuser.dat as a configuration file
- -I ← AES key for decrypting the RSA public key (Optional)
- -s ← Copies itself to %ProgramData% directory
- -t ← Sets the number of threads for encryption
- -d ← Sets the path for encryption
- -f ← Encrypts a single file
- -e ← Sets the maximum file size for encryption
- -kd ← Disables terminate services, processes and delete shadow copies
- -q ← Enables quick lock mode
- -l ← Enables logger function
- -c ← Change cover size
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
以下のスケジュールされたタスクを追加します:
- Task name: Updates Check Task
Task to be run: %ProgramData%\{Victim's ID}.exe -r
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- CaCtUs.ReAdMe.txt
- cmd.exe
- conhost.exe
- csrss.exe
- dekstop.ini
- dwm.exe
- explorer.exe
- fontdrvhost.exe
- LogonUi.exe
- lsass.exe
- ntuser.dat
- SearchUi.exe
- services.exe
- sihost.exe
- smss.exe
- spoolsv.exe
- update.log
- winlogon.exe
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- $recycle.bin
- boot
- ctslck
- efi
- internet Explorer
- microsoft
- microsoft shared
- packages
- perflog
- perflogs
- programdata
- system volume information
- temp
- thumb
- tmp
- tor browser
- windows
- windows defender
- windows.~bt
- windows.old
- windowsapps
- winnt
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .cts0
- .cts1
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\cAcTuS.readme.txt
以下のファイル拡張子を持つファイルについては暗号化しません:
- .exe
- .dll
- .lnk
- .sys
- .msi
- .bat
- .cts0
- .cts6
- .cts7
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF069
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Task name: Updates Check Task
Task to be run: %ProgramData%\{Victim's ID}.exe -r
- Task name: Updates Check Task
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 6
以下のファイルを検索し削除します。
- %ProgramData%\{Victim's ID}.exe
- %ProgramData%\ntuser.dat
- {Encrypted Directory}\cAcTuS.readme.txt
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win64.KAKTOS.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください