RANSOM_AUTOLOCKY.A
Trojan-Ransom.Win32.CryFile.xwc (Kaspersky), Win32/Filecoder.AutoLocky.A (ESET), RDN/Ransom (McAfee)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Desktop%\info.html - ransom note
- %Desktop%\info.txt - ransom note
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
自動実行方法
マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\Start.lnk
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
他のシステム変更
マルウェアは、以下のファイルを改変します。
- It encrypts files and appends the extension .locky to the encrypted files
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- 3ds
- 3fr
- 3pr
- 7z
- accdb
- accde
- accdr
- accdt
- adb
- agd1
- ai
- ait
- al
- apj
- arw
- asm
- asp
- awg
- backup
- backupdb
- bdb
- bik
- blend
- bmp
- c
- cdr
- cdr3
- cdr4
- cdr5
- cdr6
- cdrw
- cdx
- ce1
- ce2
- cer
- cgm
- cib
- cls
- cmt
- cpi
- cpp
- cr2
- craw
- crt
- crw
- csh
- csl
- css
- csv
- db
- db-journal
- db3
- dbf
- dc2
- dcr
- dcs
- ddoc
- ddrw
- der
- design
- dng
- doc
- docm
- docx
- dot
- dotm
- dotx
- drf
- drw
- dwg
- dxb
- erbsql
- erf
- exf
- fdb
- fff
- fh
- fhd
- fpx
- fxg
- gray
- grey
- gry
- h
- hpp
- ibd
- ibz
- idx
- iiq
- incpas
- jpeg
- jpg
- js
- kc2
- kdbx
- kdc
- kpdx
- lua
- mdb
- mdc
- mef
- mfw
- mos
- mrw
- myd
- ndd
- nef
- nop
- nrw
- ns2
- ns3
- ns4
- nsd
- nsf
- nsg
- nsh
- nwb
- nx1
- nx2
- nyf
- odb
- odf
- odg
- odm
- odp
- ods
- odt
- orf
- otg
- oth
- otp
- ots
- ott
- p12
- p7b
- p7c
- pat
- pcd
- pef
- pem
- pfx
- php
- pl
- pot
- potm
- potx
- ppam
- pps
- ppsm
- ppsx
- ppt
- pptm
- pptx
- ps
- psafe3
- psd
- ptx
- py
- ra2
- raf
- rar
- raw
- rdb
- rtf
- rw2
- rwl
- rwz
- s3db
- sas7bdat
- sav
- sd0
- sd1
- sda
- sdf
- sldm
- sldx
- sql
- sqlite
- sqlite3
- sqlitedb
- sr2
- srf
- srw
- st4
- st5
- st6
- st7
- st8
- stc
- std
- sti
- stw
- stx
- sxc
- sxd
- sxg
- sxi
- sxw
- txt
- wb2
- x3f
- xla
- xlam
- xll
- xlm
- xls
- xlsb
- xlsm
- xlsx
- xlt
- xltm
- xltx
- xlw
- xml
- ycbcra
- zip
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %Desktop%\info.html
- %Desktop%\info.txt
- %User Startup%\Start.lnk
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_AUTOLOCKY.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください