RANSOM_CRYPGPCODE.THJ
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Application Data%\{random folder name}\{random filename}.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
マルウェアは、以下のファイルを作成します。
- %User Temp%\pid.txt - contains process ID of the running malware
- %User Temp%\bind.exe - program used to prevent system logoff, standy and shutdown
- %User Temp%\bind.ini - configuration of bind.exe
- %User Temp%\lol.bin
- %Desktop%\how to get data.txt - ransom note
- {Folder of encrypted files}\how to get data.txt - ransom note
- {malware path}\works_fine.bat - used to delete initial copy
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
マルウェアは、以下のプロセスを追加します。
- taskmgr.exe
- bind.exe
自動実行方法
マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\Windows.lnk
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- *.1cd
- *.3fr
- *.3gp
- *.7z
- *.?ar
- *.abk
- *.accdb
- *.adf
- *.ai
- *.arc
- *.arj
- *.arw
- *.ashbak
- *.ashdisk
- *.avi
- *.ba?
- *.backup
- *.bk?
- *.bmp
- *.bup
- *.cdr
- *.cdx
- *.cer
- *.cf
- *.cfu
- *.cr?
- *.cs?
- *.da?
- *.dbf
- *.dcr
- *.der
- *.dic
- *.divx
- *.djvu
- *.dng
- *.doc
- *.doc?
- *.dt
- *.dwg
- *.dx?
- *.e?f
- *.efd
- *.eps
- *.er?
- *.fbw
- *.fh
- *.flv
- *.frp
- *.gh?
- *.gif
- *.gzip
- *.hbi
- *.hdb
- *.htm
- *.html
- *.ifo
- *.img
- *.indd
- *.iso
- *.iv2i
- *.jpeg
- *.jpg
- *.kdc
- *.key
- *.kwm
- *.ld?
- *.m2v
- *.max
- *.md
- *.md?
- *.mef
- *.mkv
- *.mov
- *.mp4
- *.mpeg
- *.mpg
- *.mrw
- *.nba
- *.ndf
- *.nef
- *.nr?
- *.od?
- *.ol?
- *.one
- *.orf
- *.p12
- *.p7?
- *.pb?
- *.pd?
- *.pef
- *.pem
- *.pfx
- *.png
- *.pps
- *.pps?
- *.ppt
- *.ppt?
- *.psd
- *.pst
- *.ptx
- *.pwm
- *.qbw
- *.r??
- *.sco
- *.sef
- *.sk
- *.sr2
- *.srf
- *.srw
- *.tbk
- *.tc
- *.tib
- *.tif
- *.tmd
- *.txt
- *.v?
- *.v??
- *.v???
- *.wb2
- *.wbb
- *.wim
- *.wmv
- *.wpd
- *.wps
- *.x3f
- *.xl?
- *.xls?
- *.xml
- *.z?
- *.z??
- *.z???
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「RANSOM_CRYPGPCODE.THJ」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %User Startup%\Windows.lnk
- %User Temp%\lol.bin
- %User Temp%\pid.txt
- %User Temp%\bind.exe
- %User Temp%\bind.ini
- {malware path}\works_fine.bat
- {all folders with encrypted files}\how to get data.txt
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_CRYPGPCODE.THJ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください