RANSOM_EXMAS.B
a variant of MSIL/Injector.RBY (ESET-NOD32); MSIL/Injector.RBY!tr (Fortinet);
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
■ ランサムウェアファイル復号ツール公開
ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。
法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
このマルウェアは、2017年1月初旬に確認されており、検出名は、脅迫状のタイトルに由来しています。このランサムウェアに感染すると、コンピュータのファイルは暗号化されます。脅迫状にはクリスマスの祝いと共に暗号化されたファイルを取り戻すための身代金の支払い要求が記載されています。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Desktop%\YOUR_FILES_ARE_DEAD.HTA - ransom note
- {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA - ransom note
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
マルウェアは、以下のファイルを作成し実行します。
- %User Startup%\svcproc.exe - detected as TSPY_GORYNYCH.A
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKCU\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Adobe = {Malware Path}\{Malware Name}.exe
他のシステム変更
マルウェアは、以下のファイルを改変します。
- It encrypts files and appends the extension .RARE1
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- bat
- bay
- bc6
- bc7
- bck
- bcp
- bdb
- bdp
- bdr
- bfa
- bgt
- bi8
- bib
- bic
- big
- bik
- bin
- bkf
- bkp
- bkup
- blend
- blob
- blp
- bmc
- bmf
- bml
- bmp
- boc
- bp2
- bp3
- bpk
- bpl
- bpw
- brd
- bsa
- bsk
- bsp
- btoa
- bvd
- bz2
- c
- cag
- cam
- camproj
- cap
- car
- cas
- cat
- cbf
- cbr
- cbz
- cc
- ccd
- ccf
- cch
- cd
- cdf
- cdi
- cdr
- cdr3
- cdr4
- cdr5
- cdr6
- cdrw
- cdx
- ce1
- ce2
- cef
- cer
- cert
- cfg
- cfm
- cfp
- cfr
- cgf
- cgi
- cgm
- cgp
- chk
- chml
- cib
- class
- clr
- cls
- clx
- cmd
- cmf
- cms
- cmt
- cnf
- cng
- cod
- col
- con
- conf
- config
- contact
- cp
- cpi
- cpio
- cpp
- cr2
- craw
- crd
- crt
- crw
- crwl
- crypt
- crypted
- cryptra
- cryptXXX
- cs
- csh
- csi
- csl
- cso
- csr
- css
- csv
- ctt
- cty
- cue
- cwf
- d3dbsp
- dac
- dal
- dap
- das
- dash
- dat
- database
- dayzprofile
- dazip
- db
- db_journal
- db0
- db3
- dba
- dbb
- dbf
- dbfv
- db-journal
- dbx
- dc2
- dc4
- dch
- dco
- dcp
- dcr
- dcs
- dcu
- ddc
- ddcx
- ddd
- ddoc
- ddrw
- dds
- default
- dem
- der
- des
- desc
- design
- desklink
- dev
- dex
- dfm
- dgc
- dic
- dif
- dii
- dim
- dime
- dip
- dir
- directory
- disc
- disk
- dit
- divx
- diz
- djv
- djvu
- dlc
- dmg
- dmp
- dng
- dob
- doc
- docb
- docm
- docx
- dot
- dotm
- dotx
- dox
- dpk
- dpl
- dpr
- drf
- drw
- dsk
- dsp
- dtd
- dvd
- dvi
- dvx
- dwg
- dxb
- dxe
- dxf
- dxg
- e4a
- edb
- efl
- efr
- efu
- efx
- eip
- elf
- emc
- emf
- eml
- enc
- enx
- epk
- eps
- epub
- eql
- erbsql
- erf
- err
- esf
- esm
- euc
- evo
- ex
- exf
- exif
- f90
- faq
- fcd
- fdb
- fdr
- fds
- ff
- ffd
- fff
- fh
- fhd
- fla
- flac
- flf
- flp
- flv
- flvv
- for
- forge
- fos
- fpenc
- fpk
- fpp
- fpx
- frm
- fsh
- fss
- fxg
- gadget
- gam
- gbk
- gbr
- gdb
- ged
- gfe
- gfx
- gho
- gif
- gif,.bmp
- gpg
- gpx
- gray
- grey
- grf
- groups
- gry
- hqx
- htm
- html
- htpasswd
- hvpl
- hwp
- ibank
- ibd
- ibooks
- ibz
- ico
- icxs
- idl
- idml
- idx
- ie5
- ie6
- ie7
- ie8
- ie9
- iff
- iif
- iiq
- img
- incpas
- indb
- indd
- indl
- indt
- ink
- inx
- ipa
- iso
- isu
- isz
- itdb
- itl
- itm
- iwd
- iwi
- jac
- jar
- jav
- java
- jbc
- jc
- jfif
- jge
- jgz
- jif
- jiff
- jks
- jnt
- jpc
- jpe
- jpeg
- jpf
- jpg
- jpw
- js
- json
- jsp
- just
- k25
- kc2
- kdb
- kdbx
- kdc
- kde
- key
- kf
- klq
- kml
- kmz
- kpdx
- kwd
- kwm
- laccdb
- lastlogin
- lay
- lay6
- layout
- lbf
- lbi
- lcd
- lcf
- lcn
- ldb
- ldf
- lgp
- lib
- lit
- litemod
- lngttarch2
- localstorage
- locky
- log
- lp2
- lpa
- lrf
- ltm
- ltr
- ltx
- lua
- lvivt
- lvl
- m
- m2
- m2ts
- m3u
- m3u8
- m4a
- m4p
- m4u
- m4v
- mag
- man
- map
- mapimail
- max
- mbox
- mbx
- mcd
- mcgame
- mcmeta
- mcrp
- md
- md0
- md1
- md2
- md3
- md5
- mdb
- mdbackup
- mdc
- mddata
- mdf
- mdl
- mdn
- mds
- mef
- menu
- meo
- mfd
- mfw
- mic
- mid
- mim
- mime
- mip
- mjd
- mkv
- mlb
- mlx
- mm6
- mm7
- mm8
- mme
- mml
- mmw
- mny
- mobi
- mod
- moneywell
- mos
- mov
- movie
- moz
- mp1
- mp2
- mp3
- mp4
- mp4v
- mpa
- mpe
- mpeg
- mpg
- mpq
- mpqge
- mpv2
- mrw
- mrwref
- ms11
- ms11(Securitycopy)
- mse
- msg
- msi
- msp
- mts
- mui
- mxp
- myd
- myi
- nav
- ncd
- ncf
- nd
- ndd
- ndf
- nds
- nef
- nfo
- nk2
- nop
- note
- now
- nrg
- nri
- nrw
- ns2
- ns3
- ns4
- nsd
- nsf
- nsg
- nsh
- ntl
- number
- nvram
- nwb
- nx1
- nx2
- nxl
- nyf
- oab
- obj
- odb
- odc
- odf
- odg
- odi
- odm
- odp
- ods
- odt
- oft
- oga
- ogg
- oil
- opd
- opf
- orf
- ost
- otg
- oth
- otp
- ots
- ott
- owl
- oxt
- p12
- p7b
- p7c
- pab
- pack
- pages
- pak
- paq
- pas
- pat
- pbf
- pbk
- pbp
- pbs
- pcd
- pct
- pcv
- pdb
- pdc
- pdd
- pef
- pem
- pfx
- php
- pif
- pkb
- pkey
- pkh
- pkpass
- pl
- plb
- plc
- pli
- plugin
- plus_muhd
- pm
- pmd
- png
- po
- pot
- potm
- potx
- ppam
- ppd
- ppf
- ppj
- pps
- ppsm
- ppsx
- ppt
- pptm
- pptx
- prc
- prel
- prf
- priv
- privat
- props
- prproj
- prt
- ps
- psa
- psafe3
- psd
- psk
- pspimage
- pst
- psw6
- ptx
- pub
- puz
- pwf
- pwi
- pwm
- pxp
- py
- qba
- qbb
- qbm
- qbr
- qbw
- qbx
- qby
- qcow
- qcow2
- qdf
- qed
- qel
- qic
- qif
- qpx
- qt
- qtq
- qtr
- r00
- r01
- r02
- r03
- r3d
- ra
- ra2
- raf
- ram
- rar
- rat
- raw
- rb
- rdb
- rdi
- re4
- res
- result
- rev
- rgn
- rgss3a
- rim
- rll
- rm
- rng
- rofl
- rpf
- rrt
- rsdf
- rsrc
- rss
- rsw
- rte
- rtf
- rts
- rtx
- rum
- run
- rv
- rvt
- rw2
- rwl
- rwz
- rzk
- rzx
- s3db
- sad
- saf
- safe
- sas7bdat
- sav
- save
- say
- sb
- sc2save
- sch
- scm
- scn
- scx
- sd0
- sd1
- sda
- sdb
- sdc
- sdf
- sdn
- sdo
- sds
- sdt
- search-ms
- sef
- sen
- ses
- sfs
- sfx
- sgz
- sh
- shar
- shr
- shw
- shy
- sid
- sidd
- sidn
- sie
- sis
- sitx
- sldm
- sldx
- slk
- slm
- sln
- slt
- sme
- snk
- snp
- snx
- so
- spd
- spr
- sql
- sqlite
- sqlite3
- sqlitedb
- sqllite
- sqx
- sr2
- srf
- srt
- srw
- ssa
- st4
- st5
- st6
- st7
- st8
- stc
- std
- sti
- stm
- stt
- stw
- stx
- sud
- suf
- sum
- svg
- svi
- svr
- swd
- swf
- switch
- sxc
- sxd
- sxg
- sxi
- sxm
- sxw
- syncdb
- t01
- t03
- t05
- t12
- t13
- tar
- tar.bz2
- tarbz2
- tax
- tax2013
- tax2014
- tbk
- tbz2
- tch
- tcx
- teslacrypt
- tex
- text
- tg
- tga
- tgz
- thm
- thmx
- tif
- tiff
- tlb
- tlg
- tlz
- tmp
- toast
- tor
- torrent
- tpu
- tpx
- trp
- ts
- tu
- tur
- txd
- txf
- txt
- uax
- udf
- uea
- umx
- unity3d
- unr
- unx
- uop
- uot
- upk
- upoi
- url
- usa
- usx
- ut2
- ut3
- utc
- utx
- uu
- uud
- uue
- uvx
- uxx
- val
- vault
- vb
- vbox
- vbs
- vc
- vcd
- vcf
- vcxpro
- vdf
- vdi
- vdo
- ver
- vfs0
- vhd
- vhdx
- vlc
- vlt
- vmdk
- vmf
- vmsd
- vmt
- vmx
- vmxf
- vob
- vp
- vpk
- vpp_pc
- vsi
- vtf
- w3g
- w3x
- wab
- wad
- wallet
- war
- wav
- wave
- waw
- wb2
- wbk
- wdgt
- wks
- wm
- wma
- wmd
- wmdb
- wmmp
- wmo
- wmv
- wmx
- wotreplay
- wow
- wpd
- wpe
- wpk
- wpl
- wps
- wsf
- wsh
- wtd
- wtf
- wvx
- x11
- x3f
- xcodeproj
- xf
- xhtml
- xis
- xl
- xla
- xlam
- xlc
- xlk
- xll
- xlm
- xlr
- xls
- xlsb
- xlsm
- xlsx
- xlt
- xltm
- xltx
- xlv
- xlw
- xlwx
- xml
- xpi
- xps
- xpt
- xqx
- xsl
- xtbl
- xvid
- xwd
- xxe
- xxx
- yab
- ycbcra
- yenc
- yml
- ync
- yps
- yuv
- z02
- z04
- zap
- zip
- zipx
- zoo
- zps
- ztmp
- 001
- 1cd
- 3d
- 3d4
- 3df8
- 3dm
- 3ds
- 3fr
- 3g2
- 3ga
- 3gp
- 3gp2
- 3mm
- 3pr
- 7z
- 7zip
- 8ba
- 8bc
- 8be
- 8bf
- 8bi8
- 8bl
- 8bs
- 8bx
- 8by
- 8li
- a2c
- aa
- aa3
- aac
- aaf
- ab4
- abk
- abw
- ac2
- ac3
- accdb
- accde
- accdr
- accdt
- ace
- ach
- acr
- act
- adb
- ade
- adi
- adp
- adpb
- adr
- ads
- adt
- aep
- aepx
- aes
- aet
- afp
- agd1
- agdl
- ai
- aif
- aiff
- aim
- aip
- ais
- ait
- ak
- al
- allet
- alphacrypt
- amf
- amr
- amu
- amx
- amxx
- ans
- aoi
- ap
- ape
- api
- apj
- apk
- apnx
- app
- arc
- arch00
- ari
- arj
- aro
- arr
- arw
- as
- as3
- asa
- asc
- ascx
- ase
- asf
- ashx
- asm
- asmx
- asp
- aspx
- asr
- asset
- asx
- automaticdestinations-ms
- avi
- avs
- awg
- azf
- azs
- azw
- azw1
- azw3
- azw4
- b2a
- back
- backup
- backupdb
- bad
- bak
- bank
- bar
- gthr
- gxk
- gz
- gzig
- gzip
- h
- h3m
- h4r
- hbk
- hbx
- hdd
- hex
- hkdb
- hkx
- hplg
- hpp
マルウェアが作成する以下のファイルは、脅迫状です。
- %Desktop%\YOUR_FILES_ARE_DEAD.HTA
- {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA
マルウェアが作成し実行する以下のファイルは、「TSPY_GORYNYCH.A」として検出されます。
- %User Startup%\svcproc.exe
マルウェアは、ファイルを暗号化して拡張子「.RARE1」を追加します。
以下は、脅迫状の中身になります。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- Adobe = {Malware Path}\{Malware Name}.exe
- Adobe = {Malware Path}\{Malware Name}.exe
手順 4
以下のファイルを検索し削除します。
- %Desktop%\YOUR_FILES_ARE_DEAD.HTA
- {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_EXMAS.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください