![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
Ransom.Win64.NERMER.A
Ransom:Win32/MedusaLocker.MK!MTB (Microsoft)
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=401MB
- vssadmin.exe Resize ShadowStorage /for=c: /on=c: /maxsize=unbounded
- vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=401MB
- vssadmin.exe Resize ShadowStorage /for=d: /on=d: /maxsize=unbounded
- vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=401MB
- vssadmin.exe Resize ShadowStorage /for=e: /on=e: /maxsize=unbounded
- vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=401MB
- vssadmin.exe Resize ShadowStorage /for=f: /on=f: /maxsize=unbounded
- vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=401MB
- vssadmin.exe Resize ShadowStorage /for=g: /on=g: /maxsize=unbounded
- vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=401MB
- vssadmin.exe Resize ShadowStorage /for=h: /on=h: /maxsize=unbounded
- vssadmin.exe Delete Shadows /All /Quiet
- To delete backup:
- del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
- del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
- del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
- del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
- del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
- del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
- wbadmin DELETE SYSTEMSTATEBACKUP
- del %0
- bcdedit.exe /set {default} recoveryenabled No
- bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- wmic.exe SHADOWCOPY /nointeractive
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- {8761ABBD-7F85-42EE-B272-A76179687C63}
自動実行方法
マルウェアは、以下のサービスを開始します。
- LanmanWorkstation
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- wxServer.exe
- wxServerView
- sqlservr.exe
- sqlmangr.exe
- RAgui.exe
- supervise.exe
- Culture.exe
- RTVscan.exe
- Defwatch.exe
- sqlbrowser.exe
- winword.exe
- Winword.exe
- onenotem.exe
- QBW32.exe
- QBDBMgr.exe
- qbupdate.xe
- QBCFMonitorService.exe
- axlbridge.exe
- QBIDPService.exe
- httpd.exe
- fdlauncher.exe
- MsDtsSrvr.exe
- sqlwriter.exe
- fdhost.exe
- ssms.exe
マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- wrapper
- DefWatch
- ccEvtMgr
- ccSetMgr
- SavRoam
- sqlservr
- sqlagent
- sqladhlp
- Culserver
- RTVscan
- sqlbrowser
- SQLADHLP
- QBIDPService
- Intuit.QuickBooks.FCS
- QBCFMonitorService
- sqlwriter
- msmdsrv
- MSSQLServerADHelper100
- MSSQLFDLauncher
- MSSQLSERVER
- MSSQLServerOLAPService
- SQLBrowser
- MsDtsServer100
- ReportServer
- SQLWriter
- SQLSERVERAGENT
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- 123
- 1c
- 1cd
- 3dm
- 3ds
- 3fr
- 3g2
- 3gp
- 3pr
- 602
- 7z
- 7zip
- _ms
- aac
- ab4
- abd
- accdb
- accde
- accdr
- accdt
- ace
- ach
- acr
- act
- adb
- adi
- adp
- ads
- aes
- afi
- agdl
- ai
- aiff
- aii
- air
- ais
- ait
- aiv
- al
- alg
- allet
- ams
- aocla
- aoi
- apj
- apk
- arc
- arch00
- arm
- art
- arw
- arz
- asc
- asf
- asm
- asp
- aspx
- asset
- asx
- avhdx
- avi
- awg
- backup
- backupdb
- bank
- bar
- bat
- bay
- bc6
- bc7
- bck
- bco
- bdb
- bgt
- big
- bik
- bin
- bkf
- bkp
- bkup
- blend
- blob
- bmp
- bpn
- bpw
- brd
- bsa
- bsm
- bxl
- bz2
- cad
- cam
- cas
- cbk
- cbu
- cdf
- cdr
- cdr3
- cdr4
- cdr5
- cdr6
- cdrw
- cdx
- ce1
- ce2
- cel
- cer
- cert
- cf
- cfg
- cfr
- cgi
- cgm
- chg
- cib
- ckt
- class
- classpath
- cls
- cmd
- cmt
- cnf
- con
- config
- contact
- cpa
- cpi
- cpp
- cpr
- cr2
- craw
- crt
- crw
- cs
- csa
- csh
- cshtml
- csl
- csr
- css
- csv
- ctl
- cwz
- d3dbsp
- dac
- das
- data
- dazip
- db0
- db3
- db5
- db_journal
- dba
- dbc
- dbf
- dbs
- dbx
- dc2
- dch
- dcr
- dcs
- ddb
- ddd
- ddoc
- ddrw
- dds
- der
- des
- desc
- design
- dft
- dgc
- dif
- dip
- dit
- djvu
- dmp
- dng
- doc
- docb
- docm
- docx
- dot
- dotm
- dotx
- dra
- drf
- drl
- dru
- drw
- dsn
- dsnwrk
- dt
- dtd
- dwg
- dxb
- dxf
- dxg
- ecf
- edb
- edf
- elt
- eml
- emz
- epk
- eps
- erbsql
- erf
- esm
- ewprj
- exf
- fdb
- ff
- ffd
- fff
- fh
- fhd
- fla
- flac
- flf
- flp
- flv
- flvv
- fods
- fodt
- forge
- fos
- fp7
- fpd
- fpk
- fpx
- frm
- fsh
- fxg
- g1
- g2
- g3
- g4
- gbl
- gbo
- gbp
- gbr
- gbs
- gbx
- gdb
- gho
- gif
- gko
- gml
- gp
- gp1
- gp2
- gp3
- gp4
- gpb
- gpg
- gpt
- gray
- grb
- grey
- groups
- gry
- gtl
- gto
- gtp
- gts
- gwk
- gz
- hbk
- hdd
- hkdb
- hkx
- hplg
- hpp
- html
- hvpl
- hwp
- ibank
- ibd
- ibz
- icxs
- idb
- idc
- idx
- iif
- iiq
- incpas
- indd
- info
- ip
- ipc
- ism
- iso
- itdb
- itl
- itm
- iwd
- iwi
- ix
- jar
- java
- jnt
- jpe
- jpeg
- jpg
- jrl
- js
- jsp
- kc2
- kdb
- kdbx
- kdc
- kf
- kicad
- kpdx
- kwm
- laccdb
- lay
- lay6
- layout
- lbf
- lbr
- lc
- lck
- ldb
- ldf
- lg
- lgc
- lia
- lib
- libprj
- license
- licz
- lit
- litemod
- llx
- lmc
- log
- lrf
- ltx
- lua
- lvl
- lyt
- lzh
- lzma
- m2
- m2ts
- m3u
- m4a
- m4p
- m4u
- m4v
- map
- mapimail
- max
- mbx
- mcmeta
- md
- mdb
- mdbackup
- mdc
- mddata
- mdf
- mef
- menu
- mfw
- mid
- mkv
- mlb
- mlx
- mml
- mmw
- mny
- moneywell
- mos
- mov
- mp3
- mp4
- mpeg
- mpg
- mpqge
- mrg
- mrw
- mrwref
- msg
- mst
- mts
- myd
- myi
- mysql
- mysqli
- nbd
- nc
- ncf
- nd
- ndd
- ndf
- nef
- nk2
- nop
- nrw
- ns2
- ns3
- ns4
- nsd
- nsf
- nsg
- nsh
- ntl
- nvram
- nwb
- nx2
- nxl
- nyf
- oab
- obj
- obk
- odb
- odc
- odf
- odg
- odm
- odp
- ods
- odt
- oeb
- ogg
- oil
- olb
- one
- onetoc2
- opj
- opt
- ora
- orf
- ost
- otg
- oth
- otp
- ots
- ott
- p12
- p7b
- p7c
- pab
- pad
- pages
- pak
- paq
- par
- pas
- pat
- pbd
- pc
- pcb
- pcbdoc
- pcd
- pct
- pdb
- pdblib
- pdd
- pef
- pem
- pfx
- phj
- phl
- pho
- php
- pif
- pkpass
- pl
- plc
- plus_muhd
- png
- pot
- potm
- potx
- ppam
- ppc
- pps
- ppsm
- ppsx
- ppt
- pptm
- pptx
- prf
- prj
- prjcor
- prjemb
- prjpcb
- pro
- project
- prt
- ps
- ps1
- psafe3
- psc
- psd
- psk
- psm
- pspimage
- pst
- ptx
- pwm
- py
- q99
- qb1
- qba
- qbb
- qbk
- qbm
- qbmb
- qbmd
- qbquery
- qbr
- qbw
- qbx
- qby
- qcow
- qcow2
- qdf
- qed
- qfd
- qfx
- qic
- qif
- qmd
- qry
- quicken
- quicken2015backup
- quicken2016backup
- quicken2017backup
- qw5
- r3d
- raf
- rar
- rat
- raw
- rb
- rdb
- re4
- reu
- rgss3a
- rim
- rm
- rofl
- rou
- rtf
- rul
- rvt
- rw2
- rwl
- rwz
- s3db
- safe
- sal
- sas7bdat
- sav
- save
- say
- sb
- sbn
- sbx
- sch
- schdoc
- schlib
- sd0
- sda
- sdf
- sh
- shp
- shx
- sid
- sidd
- sidn
- sie
- sis
- sl2
- sl3
- sldm
- sldx
- slk
- slm
- sln
- snt
- snx
- spp
- sqb
- sql
- sqlite
- sqlite3
- sqlitedb
- sqr
- sr2
- srf
- srt
- srw
- ssq
- st4
- st5
- st6
- st7
- st8
- stc
- std
- sti
- stm
- stp
- stw
- stx
- sum
- suo
- svg
- swf
- sxc
- sxd
- sxg
- sxi
- sxm
- sxw
- syncdb
- t12
- t13
- tar
- tax
- tbk
- tcf
- tex
- tga
- tgz
- thm
- tib
- tif
- tiff
- tlg
- tmd
- tmp
- tor
- trn
- txt
- ub
- uop
- uot
- upk
- vb
- vbk
- vbm
- vbox
- vbs
- vcd
- vcf
- vdf
- vdi
- vfs0
- vhd
- vhdx
- vib
- vlb
- vmdk
- vmem
- vmsd
- vmx
- vmxf
- vob
- vom
- vpk
- vpp_pc
- vsd
- vsdx
- vtf
- w3x
- wab
- wad
- wallet
- wav
- wb2
- wbk
- wdb
- wk1
- wks
- wma
- wmo
- wmv
- wotreplay
- wpd
- wps
- x11
- x3f
- xf
- xg3
- xgo
- xis
- xla
- xlam
- xlc
- xlk
- xlm
- xlr
- xls
- xlsb
- xlsm
- xlsx
- xlt
- xltm
- xltx
- xlw
- xml
- xps
- xslt
- xxx
- ycbcra
- ydk
- zip
- zpd
- ztmp
マルウェアは、以下を実行します。
- This ransomware can perform privilege escalation
- It encrypts in all existing drives of the affected system
- It encrypts files from network share
- It empties out the Recycle Bin
ランサムウェアの不正活動
マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。
- ALLUSERSPROFILE
- \AppData
- USERPROFILE
- ProgramData
- WINDIR
- ProgramW6432
- PROGRAMFILES(x86)
- SYSTEMDRIVE
- \Application Data
- \Intel
- \MSOCache
- \PerfLogs
- \Nvidia
- \NVIDIA Corporation
- \Users\All Users
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .nermer
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted directory}\PROTECT_INFO.TXT
以下のファイル拡張子を持つファイルについては暗号化しません:
- exe
- dll
- sys
- ini
- lnk
- dat
- htmlx
- vxdh
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF046
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「Ransom.Win64.NERMER.A」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1
- EnableLinkedConnections = 1
手順 6
以下のファイルを検索し削除します。
- {Encrypted directory}\PROTECT_INFO.TXT
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win64.NERMER.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 10
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください