Trend Micro Security

RANSOM_EXMAS.B

2017年1月4日
 解析者: Homer Pacag   

 別名:

a variant of MSIL/Injector.RBY (ESET-NOD32); MSIL/Injector.RBY!tr (Fortinet);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, Eメール経由による侵入

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP/1114224.aspx

個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

このマルウェアは、2017年1月初旬に確認されており、検出名は、脅迫状のタイトルに由来しています。このランサムウェアに感染すると、コンピュータのファイルは暗号化されます。脅迫状にはクリスマスの祝いと共に暗号化されたファイルを取り戻すための身代金の支払い要求が記載されています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 690,576 bytes
タイプ EXE
メモリ常駐 なし
発見日 2017年1月9日
ペイロード ファイルの作成

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Desktop%\YOUR_FILES_ARE_DEAD.HTA - ransom note
  • {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA - ransom note

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)

マルウェアは、以下のファイルを作成し実行します。

  • %User Startup%\svcproc.exe - detected as TSPY_GORYNYCH.A

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Adobe = {Malware Path}\{Malware Name}.exe

他のシステム変更

マルウェアは、以下のファイルを改変します。

  • It encrypts files and appends the extension .RARE1

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • bat
  • bay
  • bc6
  • bc7
  • bck
  • bcp
  • bdb
  • bdp
  • bdr
  • bfa
  • bgt
  • bi8
  • bib
  • bic
  • big
  • bik
  • bin
  • bkf
  • bkp
  • bkup
  • blend
  • blob
  • blp
  • bmc
  • bmf
  • bml
  • bmp
  • boc
  • bp2
  • bp3
  • bpk
  • bpl
  • bpw
  • brd
  • bsa
  • bsk
  • bsp
  • btoa
  • bvd
  • bz2
  • c
  • cag
  • cam
  • camproj
  • cap
  • car
  • cas
  • cat
  • cbf
  • cbr
  • cbz
  • cc
  • ccd
  • ccf
  • cch
  • cd
  • cdf
  • cdi
  • cdr
  • cdr3
  • cdr4
  • cdr5
  • cdr6
  • cdrw
  • cdx
  • ce1
  • ce2
  • cef
  • cer
  • cert
  • cfg
  • cfm
  • cfp
  • cfr
  • cgf
  • cgi
  • cgm
  • cgp
  • chk
  • chml
  • cib
  • class
  • clr
  • cls
  • clx
  • cmd
  • cmf
  • cms
  • cmt
  • cnf
  • cng
  • cod
  • col
  • con
  • conf
  • config
  • contact
  • cp
  • cpi
  • cpio
  • cpp
  • cr2
  • craw
  • crd
  • crt
  • crw
  • crwl
  • crypt
  • crypted
  • cryptra
  • cryptXXX
  • cs
  • csh
  • csi
  • csl
  • cso
  • csr
  • css
  • csv
  • ctt
  • cty
  • cue
  • cwf
  • d3dbsp
  • dac
  • dal
  • dap
  • das
  • dash
  • dat
  • database
  • dayzprofile
  • dazip
  • db
  • db_journal
  • db0
  • db3
  • dba
  • dbb
  • dbf
  • dbfv
  • db-journal
  • dbx
  • dc2
  • dc4
  • dch
  • dco
  • dcp
  • dcr
  • dcs
  • dcu
  • ddc
  • ddcx
  • ddd
  • ddoc
  • ddrw
  • dds
  • default
  • dem
  • der
  • des
  • desc
  • design
  • desklink
  • dev
  • dex
  • dfm
  • dgc
  • dic
  • dif
  • dii
  • dim
  • dime
  • dip
  • dir
  • directory
  • disc
  • disk
  • dit
  • divx
  • diz
  • djv
  • djvu
  • dlc
  • dmg
  • dmp
  • dng
  • dob
  • doc
  • docb
  • docm
  • docx
  • dot
  • dotm
  • dotx
  • dox
  • dpk
  • dpl
  • dpr
  • drf
  • drw
  • dsk
  • dsp
  • dtd
  • dvd
  • dvi
  • dvx
  • dwg
  • dxb
  • dxe
  • dxf
  • dxg
  • e4a
  • edb
  • efl
  • efr
  • efu
  • efx
  • eip
  • elf
  • emc
  • emf
  • eml
  • enc
  • enx
  • epk
  • eps
  • epub
  • eql
  • erbsql
  • erf
  • err
  • esf
  • esm
  • euc
  • evo
  • ex
  • exf
  • exif
  • f90
  • faq
  • fcd
  • fdb
  • fdr
  • fds
  • ff
  • ffd
  • fff
  • fh
  • fhd
  • fla
  • flac
  • flf
  • flp
  • flv
  • flvv
  • for
  • forge
  • fos
  • fpenc
  • fpk
  • fpp
  • fpx
  • frm
  • fsh
  • fss
  • fxg
  • gadget
  • gam
  • gbk
  • gbr
  • gdb
  • ged
  • gfe
  • gfx
  • gho
  • gif
  • gif,.bmp
  • gpg
  • gpx
  • gray
  • grey
  • grf
  • groups
  • gry
  • hqx
  • htm
  • html
  • htpasswd
  • hvpl
  • hwp
  • ibank
  • ibd
  • ibooks
  • ibz
  • ico
  • icxs
  • idl
  • idml
  • idx
  • ie5
  • ie6
  • ie7
  • ie8
  • ie9
  • iff
  • iif
  • iiq
  • img
  • incpas
  • indb
  • indd
  • indl
  • indt
  • ink
  • inx
  • ipa
  • iso
  • isu
  • isz
  • itdb
  • itl
  • itm
  • iwd
  • iwi
  • jac
  • jar
  • jav
  • java
  • jbc
  • jc
  • jfif
  • jge
  • jgz
  • jif
  • jiff
  • jks
  • jnt
  • jpc
  • jpe
  • jpeg
  • jpf
  • jpg
  • jpw
  • js
  • json
  • jsp
  • just
  • k25
  • kc2
  • kdb
  • kdbx
  • kdc
  • kde
  • key
  • kf
  • klq
  • kml
  • kmz
  • kpdx
  • kwd
  • kwm
  • laccdb
  • lastlogin
  • lay
  • lay6
  • layout
  • lbf
  • lbi
  • lcd
  • lcf
  • lcn
  • ldb
  • ldf
  • lgp
  • lib
  • lit
  • litemod
  • lngttarch2
  • localstorage
  • locky
  • log
  • lp2
  • lpa
  • lrf
  • ltm
  • ltr
  • ltx
  • lua
  • lvivt
  • lvl
  • m
  • m2
  • m2ts
  • m3u
  • m3u8
  • m4a
  • m4p
  • m4u
  • m4v
  • mag
  • man
  • map
  • mapimail
  • max
  • mbox
  • mbx
  • mcd
  • mcgame
  • mcmeta
  • mcrp
  • md
  • md0
  • md1
  • md2
  • md3
  • md5
  • mdb
  • mdbackup
  • mdc
  • mddata
  • mdf
  • mdl
  • mdn
  • mds
  • mef
  • menu
  • meo
  • mfd
  • mfw
  • mic
  • mid
  • mim
  • mime
  • mip
  • mjd
  • mkv
  • mlb
  • mlx
  • mm6
  • mm7
  • mm8
  • mme
  • mml
  • mmw
  • mny
  • mobi
  • mod
  • moneywell
  • mos
  • mov
  • movie
  • moz
  • mp1
  • mp2
  • mp3
  • mp4
  • mp4v
  • mpa
  • mpe
  • mpeg
  • mpg
  • mpq
  • mpqge
  • mpv2
  • mrw
  • mrwref
  • ms11
  • ms11(Securitycopy)
  • mse
  • msg
  • msi
  • msp
  • mts
  • mui
  • mxp
  • myd
  • myi
  • nav
  • ncd
  • ncf
  • nd
  • ndd
  • ndf
  • nds
  • nef
  • nfo
  • nk2
  • nop
  • note
  • now
  • nrg
  • nri
  • nrw
  • ns2
  • ns3
  • ns4
  • nsd
  • nsf
  • nsg
  • nsh
  • ntl
  • number
  • nvram
  • nwb
  • nx1
  • nx2
  • nxl
  • nyf
  • oab
  • obj
  • odb
  • odc
  • odf
  • odg
  • odi
  • odm
  • odp
  • ods
  • odt
  • oft
  • oga
  • ogg
  • oil
  • opd
  • opf
  • orf
  • ost
  • otg
  • oth
  • otp
  • ots
  • ott
  • owl
  • oxt
  • p12
  • p7b
  • p7c
  • pab
  • pack
  • pages
  • pak
  • paq
  • pas
  • pat
  • pbf
  • pbk
  • pbp
  • pbs
  • pcd
  • pct
  • pcv
  • pdb
  • pdc
  • pdd
  • pdf
  • pef
  • pem
  • pfx
  • php
  • pif
  • pkb
  • pkey
  • pkh
  • pkpass
  • pl
  • plb
  • plc
  • pli
  • plugin
  • plus_muhd
  • pm
  • pmd
  • png
  • po
  • pot
  • potm
  • potx
  • ppam
  • ppd
  • ppf
  • ppj
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • prc
  • prel
  • prf
  • priv
  • privat
  • props
  • prproj
  • prt
  • ps
  • psa
  • psafe3
  • psd
  • psk
  • pspimage
  • pst
  • psw6
  • ptx
  • pub
  • puz
  • pwf
  • pwi
  • pwm
  • pxp
  • py
  • qba
  • qbb
  • qbm
  • qbr
  • qbw
  • qbx
  • qby
  • qcow
  • qcow2
  • qdf
  • qed
  • qel
  • qic
  • qif
  • qpx
  • qt
  • qtq
  • qtr
  • r00
  • r01
  • r02
  • r03
  • r3d
  • ra
  • ra2
  • raf
  • ram
  • rar
  • rat
  • raw
  • rb
  • rdb
  • rdi
  • re4
  • res
  • result
  • rev
  • rgn
  • rgss3a
  • rim
  • rll
  • rm
  • rng
  • rofl
  • rpf
  • rrt
  • rsdf
  • rsrc
  • rss
  • rsw
  • rte
  • rtf
  • rts
  • rtx
  • rum
  • run
  • rv
  • rvt
  • rw2
  • rwl
  • rwz
  • rzk
  • rzx
  • s3db
  • sad
  • saf
  • safe
  • sas7bdat
  • sav
  • save
  • say
  • sb
  • sc2save
  • sch
  • scm
  • scn
  • scx
  • sd0
  • sd1
  • sda
  • sdb
  • sdc
  • sdf
  • sdn
  • sdo
  • sds
  • sdt
  • search-ms
  • sef
  • sen
  • ses
  • sfs
  • sfx
  • sgz
  • sh
  • shar
  • shr
  • shw
  • shy
  • sid
  • sidd
  • sidn
  • sie
  • sis
  • sitx
  • sldm
  • sldx
  • slk
  • slm
  • sln
  • slt
  • sme
  • snk
  • snp
  • snx
  • so
  • spd
  • spr
  • sql
  • sqlite
  • sqlite3
  • sqlitedb
  • sqllite
  • sqx
  • sr2
  • srf
  • srt
  • srw
  • ssa
  • st4
  • st5
  • st6
  • st7
  • st8
  • stc
  • std
  • sti
  • stm
  • stt
  • stw
  • stx
  • sud
  • suf
  • sum
  • svg
  • svi
  • svr
  • swd
  • swf
  • switch
  • sxc
  • sxd
  • sxg
  • sxi
  • sxm
  • sxw
  • syncdb
  • t01
  • t03
  • t05
  • t12
  • t13
  • tar
  • tar.bz2
  • tarbz2
  • tax
  • tax2013
  • tax2014
  • tbk
  • tbz2
  • tch
  • tcx
  • teslacrypt
  • tex
  • text
  • tg
  • tga
  • tgz
  • thm
  • thmx
  • tif
  • tiff
  • tlb
  • tlg
  • tlz
  • tmp
  • toast
  • tor
  • torrent
  • tpu
  • tpx
  • trp
  • ts
  • tu
  • tur
  • txd
  • txf
  • txt
  • uax
  • udf
  • uea
  • umx
  • unity3d
  • unr
  • unx
  • uop
  • uot
  • upk
  • upoi
  • url
  • usa
  • usx
  • ut2
  • ut3
  • utc
  • utx
  • uu
  • uud
  • uue
  • uvx
  • uxx
  • val
  • vault
  • vb
  • vbox
  • vbs
  • vc
  • vcd
  • vcf
  • vcxpro
  • vdf
  • vdi
  • vdo
  • ver
  • vfs0
  • vhd
  • vhdx
  • vlc
  • vlt
  • vmdk
  • vmf
  • vmsd
  • vmt
  • vmx
  • vmxf
  • vob
  • vp
  • vpk
  • vpp_pc
  • vsi
  • vtf
  • w3g
  • w3x
  • wab
  • wad
  • wallet
  • war
  • wav
  • wave
  • waw
  • wb2
  • wbk
  • wdgt
  • wks
  • wm
  • wma
  • wmd
  • wmdb
  • wmmp
  • wmo
  • wmv
  • wmx
  • wotreplay
  • wow
  • wpd
  • wpe
  • wpk
  • wpl
  • wps
  • wsf
  • wsh
  • wtd
  • wtf
  • wvx
  • x11
  • x3f
  • xcodeproj
  • xf
  • xhtml
  • xis
  • xl
  • xla
  • xlam
  • xlc
  • xlk
  • xll
  • xlm
  • xlr
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xlt
  • xltm
  • xltx
  • xlv
  • xlw
  • xlwx
  • xml
  • xpi
  • xps
  • xpt
  • xqx
  • xsl
  • xtbl
  • xvid
  • xwd
  • xxe
  • xxx
  • yab
  • ycbcra
  • yenc
  • yml
  • ync
  • yps
  • yuv
  • z02
  • z04
  • zap
  • zip
  • zipx
  • zoo
  • zps
  • ztmp
  • 001
  • 1cd
  • 3d
  • 3d4
  • 3df8
  • 3dm
  • 3ds
  • 3fr
  • 3g2
  • 3ga
  • 3gp
  • 3gp2
  • 3mm
  • 3pr
  • 7z
  • 7zip
  • 8ba
  • 8bc
  • 8be
  • 8bf
  • 8bi8
  • 8bl
  • 8bs
  • 8bx
  • 8by
  • 8li
  • a2c
  • aa
  • aa3
  • aac
  • aaf
  • ab4
  • abk
  • abw
  • ac2
  • ac3
  • accdb
  • accde
  • accdr
  • accdt
  • ace
  • ach
  • acr
  • act
  • adb
  • ade
  • adi
  • adp
  • adpb
  • adr
  • ads
  • adt
  • aep
  • aepx
  • aes
  • aet
  • afp
  • agd1
  • agdl
  • ai
  • aif
  • aiff
  • aim
  • aip
  • ais
  • ait
  • ak
  • al
  • allet
  • alphacrypt
  • amf
  • amr
  • amu
  • amx
  • amxx
  • ans
  • aoi
  • ap
  • ape
  • api
  • apj
  • apk
  • apnx
  • app
  • arc
  • arch00
  • ari
  • arj
  • aro
  • arr
  • arw
  • as
  • as3
  • asa
  • asc
  • ascx
  • ase
  • asf
  • ashx
  • asm
  • asmx
  • asp
  • aspx
  • asr
  • asset
  • asx
  • automaticdestinations-ms
  • avi
  • avs
  • awg
  • azf
  • azs
  • azw
  • azw1
  • azw3
  • azw4
  • b2a
  • back
  • backup
  • backupdb
  • bad
  • bak
  • bank
  • bar
  • gthr
  • gxk
  • gz
  • gzig
  • gzip
  • h
  • h3m
  • h4r
  • hbk
  • hbx
  • hdd
  • hex
  • hkdb
  • hkx
  • hplg
  • hpp

マルウェアが作成する以下のファイルは、脅迫状です。

  • %Desktop%\YOUR_FILES_ARE_DEAD.HTA
  • {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA

マルウェアが作成し実行する以下のファイルは、「TSPY_GORYNYCH.A」として検出されます。

  • %User Startup%\svcproc.exe

マルウェアは、ファイルを暗号化して拡張子「.RARE1」を追加します。

以下は、脅迫状の中身になります。


  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 13.146.08
初回 VSAPI パターンリリース日 2017年1月9日
VSAPI OPR パターンバージョン 13.147.00
VSAPI OPR パターンリリース日 2017年1月10日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • Adobe = {Malware Path}\{Malware Name}.exe

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Desktop%\YOUR_FILES_ARE_DEAD.HTA
  • {folders containing encrypted files}\YOUR_FILES_ARE_DEAD.HTA

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_EXMAS.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください