Trend Micro Security

Ransom_GANDCRAB.THAOAAAH

2018年10月15日
 解析者: Maureen Reyes   

 別名:

Ransom:Win32/Gandcrab!MTB (Microsoft), Trojan-Ransom.Win32.GandCrypt.fwa (Kaspersky), Ransom.GandCrab (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 434,176 bytes
タイプ EXE
メモリ常駐 なし
発見日 2018年10月10日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %User Temp%\pidor.bmp

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

  • "C:\Windows\system32\wbem\wmic.exe" shadowcopy delete

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\ex_data\
data

HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\
data

HKEY_LOCAL_MACHINE\SOFTWARE\ex_data

HKEY_LOCAL_MACHINE\SOFTWARE\keys_data

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_,MACHINE\SOFTWARE\ex_data\
data
ext = "{Hex Data}"

HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\
data
private = "{Hex Data}"

HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\
data
public = "{Hex Data}"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Temp%\pidor.bmp"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://aia.{BLOCKED}sl.com/certs/sub.class1.server.ca.crt
  • http://apps.{BLOCKED}ust.com/roots/dstrootcax3.p7c
  • http://{BLOCKED}ealer.com:443
  • http://{BLOCKED}uewiesen.com:443
  • http://crl.{BLOCKED}sl.com/crt1-crl.crl
  • http://{BLOCKED}hotel.com:443
  • http://g2.{BLOCKED}b.com/MEQwQjBAMD4wPDAJBgUrDgMCGgUABBSxtDkXkBa3l3lQEfFgudSiPNvt7gQUAPkqw0GRtsnCuD5V8sCXEROgByACAwI6cQ%3D%3D
  • http://gp.{BLOCKED}d.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRH4mIoBb%2Bhjdi7K%2FE2J4ZS9L%2FZgAQUl8InUJ7CyewMiDLIfK3ipgFP2m8CEDzgLkOzTDeZMmnNb2%2Fb1wo%3D
  • http://{BLOCKED}golf.com:443
  • http://isrg.trustid.ocsp.{BLOCKED}ust.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRv9GhNQxLSSGKBnMArPUcsHYovpgQUxKexpHsscfrb4UuQdf%2FEFWCFiRACEAoBQUIAAAFThXNqC4Xspwg%3D
  • http://{BLOCKED}egensberg.com/de/
  • http://{BLOCKED}alzermatt.ch:443
  • http://ocsp.{BLOCKED}ca.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBR64T7ooMQqLLQoy%2BemBUYZQOKh6QQUkK9qOpRaC9iQ6hJWc99DtDoo2ucCEDeF6CBtqHMHeIfLefRic9k%3D
  • http://ocsp.{BLOCKED}ca.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBR64T7ooMQqLLQoy%2BemBUYZQOKh6QQUkK9qOpRaC9iQ6hJWc99DtDoo2ucCEFAFq8ZQqnUCksBjrX9M0aQ%3D
  • http://ocsp.{BLOCKED}ca.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBReAhtobFzTvhaRmVeJ38QUchY9AwQUu69%2BAj36pvE8hI6t7jiY7NkyMtQCECsuburZdTZsFIpu26N8jAc%3D
  • http://ocsp.{BLOCKED}ca.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBReAhtobFzTvhaRmVeJ38QUchY9AwQUu69%2BAj36pvE8hI6t7jiY7NkyMtQCEDaCXn%2B1pIGTfvbRc2u5PKY%3D
  • http://ocsp.{BLOCKED}ca.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSTufqHinruS%2FP9Wi1XSjRRzoTLfAQUfgNaZUFrp34K4bidCOodjh1qx2UCEEBOQVynVVFklfzfQK4ZAgs%3D
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBR64T7ooMQqLLQoy%2BemBUYZQOKh6QQUkK9qOpRaC9iQ6hJWc99DtDoo2ucCEQC7%2B5SfeUpIM0S5JrdlG29G
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBR64T7ooMQqLLQoy%2BemBUYZQOKh6QQUkK9qOpRaC9iQ6hJWc99DtDoo2ucCEQCQxfOQrJPfoewQ8biFl6wV
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBR64T7ooMQqLLQoy%2BemBUYZQOKh6QQUkK9qOpRaC9iQ6hJWc99DtDoo2ucCEQDrLnCv76JExREA49i%2F%2FaYa
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBR64T7ooMQqLLQoy%2BemBUYZQOKh6QQUkK9qOpRaC9iQ6hJWc99DtDoo2ucCEQDxBlaDbnnRweqzDplizcRe
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBReAhtobFzTvhaRmVeJ38QUchY9AwQUu69%2BAj36pvE8hI6t7jiY7NkyMtQCEQDwHUvue3yjezwFZqwFlyRY
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBSTufqHinruS%2FP9Wi1XSjRRzoTLfAQUfgNaZUFrp34K4bidCOodjh1qx2UCEQCNEhGUrzMq%2FRFXR6udtv7u
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBSTufqHinruS%2FP9Wi1XSjRRzoTLfAQUfgNaZUFrp34K4bidCOodjh1qx2UCEQD%2BTbA6Uk1lGrbJ8sAEBuyA
  • http://ocsp.{BLOCKED}ca.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBSTufqHinruS%2FP9Wi1XSjRRzoTLfAQUfgNaZUFrp34K4bidCOodjh1qx2UCEQD%2Bv0VNim62Yk5okFY29%2B80
  • http://ocsp.{BLOCKED}ca4.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBReAhtobFzTvhaRmVeJ38QUchY9AwQUu69%2BAj36pvE8hI6t7jiY7NkyMtQCEAui0B3Ly3d26KxlCXrBJUE%3D
  • http://ocsp.{BLOCKED}ca4.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTrJdiQ%2Ficg9B19asFe73bPYs%2BreAQUdXGnGUgZvJ2d6kFH35TESHeZ03kCEFslzmkHxCZVZtM5DJmpVK0%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2Fh0Ztl%2Bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2F6%2BrkS7QYXjzkCEA3g%2F7XuYsthEJ9gjJztXtM%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2Fh0Ztl%2Bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2F6%2BrkS7QYXjzkCEAkO6MXeW%2Fpi0q4v9wl8SFc%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2Fh0Ztl%2Bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2F6%2BrkS7QYXjzkCEAsllCLO2YEqFaBOmVKKDvo%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQQX6Z6gAidtSefNc6DC0OInqPHDQQUD4BhHIIxYdUvKOeNRji0LOHG2eICEAGhSVwobhfHBceTQfftqyc%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAH9o%2BtuynXIiEOLckvPvJE%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAilokbNS1yMg9cCtLurU0k%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEA8sEMlbBsCTf7jUSfg%2BhWk%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAiIzVJfGSRETRSlgpHeuVI%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTPJvUY%2Bsl%2Bj4yzQuAcL2oQno5fCgQUUWj%2FkK8CB3U8zNllZGKiErhZcjsCEAs8O2AaGPWe4ra7BWBe8sA%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTfqhLjKLEJQZPin0KCzkdAQpVYowQUsT7DaQP4v0cB1JgmGggC72NkK8MCEATh56TcXPLzbcArQrhdFZ8%3D
  • http://ocsp.{BLOCKED}rt.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTyiolSzTBLGh8kDIF83Tc5p4s5CgQUeN%2BRkF%2Fu3qz2xXXr1UxVU%2B8kSrYCEAZINIFX2qSPk4pHDdink8s%3D
  • http://ocsp.{BLOCKED}sign.com/rootr1/MEwwSjBIMEYwRDAJBgUrDgMCGgUABBS3V7W2nAf4FiMTjpDJKg6%2BMgGqMQQUYHtmGkUNl8qJUC99BM00qP%2F8%2FUsCCwQAAAAAAURO8DYx
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgM%2FJlUXVBby7%2Bp%2FLnbn9I7kPw%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgM1ieMynE9OluUFxr4NJTuXUQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgMKV%2FmACEYRqegrt9plkWenqA%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgMQt%2FahFdFHRCfWxexyIqDU0g%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgMayxWWGjUaz7ylUN162jKTew%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgMs4VHtm7ge6OfsMFCkElbWvg%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgMvv02MGAymjCKGxaZ3bqXc5A%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgN3PaiRrJuhA7A7iaU4XhbQgQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgNSQ5XpFeUBH3l9RfS0dvKvhQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgO2u03Ob%2Fd4B0Q7xg4qGAD7Ig%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOJTUKdC5Ud05roCv%2F7tdEuww%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOMyEIsk%2FcSQy4nwujldGVbmw%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOP915RgDq3mXhLoggd9tR%2F%2BQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgORNo5Xrn3tPfjR4z3Ae3rfAw%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOTQmVP5B%2FjBWXqfVi1V4DmNg%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOZIBfoEKVWZSWZomnB%2BdtljQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOgYCVMAbW1xr3CDjHe7Y6kgg%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOiYet6qu1LlmhP7vGrB7H%2FGQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgOoGb4jSH1ktptOgUgwPiHuLA%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgP2XFSHqpaOx%2Bvry2fvpjS2ew%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgPMu42dpcUYASD3EdvHp6WbEg%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgPO8np%2BVJygLXuZS10hNiXX1A%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgPfFRAvzWxGBco%2BpjZKvwseyQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgPzgjp%2FNjKxLHuWAG1VGie5Sw%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgQY3oq2VfhOR2oNvOP8rkh%2Fsw%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgR1PT5ciOlYKRfmfSc83Ds%2BVQ%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgROQ8UKl0hdsvDGbFIXs8YlZw%3D%3D
  • http://ocsp.int-x3.{BLOCKED}crypt.org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBR%2B5mrncpqz%2FPiiIGRsFqEtYHEIXQQUqEpqYwR93brm0Tm3pkVl7%2FOo7KECEgSXafaLNpzTX0MO%2FS%2FO1G4jsg%3D%3D
  • http://ocsp.{BLOCKED}eldtech.com//MEIwQDA%2BMDwwOjAJBgUrDgMCGgUABBQUwPiEZQ6%2FsVZNPaFToNfxx8ZwqAQUfAwyH6fZMH%2FEfWijYqihzqsHWycCAQc%3D
  • http://ocsp.{BLOCKED}sl.com/ca/MEgwRjBEMEIwQDAJBgUrDgMCGgUABBRBc6bT2N9qzRkeiWvn5WI5MHBpNQQUTgvvGqRAW6UXaYcwyjRoQ9BBrvICBxcVPZ6rP78%3D
  • http://ocsp.{BLOCKED}sl.com/sub/class1/server/ca/MEQwQjBAMD4wPDAJBgUrDgMCGgUABBRlaIdPQHUPAWo0dWJeH1yT5aJtWAQU60I00Jiwq5%2F0G2sI98xkLu8OLEUCAw%2F7%2BQ%3D%3D
  • http://ocsp.{BLOCKED}provider.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBR8sWZUnKvbRO5iJhat9GV793rVlAQUrb2YejS0Jvf6xCZU7wO94CTLVBoCEENSAj%2F6qJAfE5%2Fj9OXBRE4%3D
  • http://ocsp.{BLOCKED}ust.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBR8sWZUnKvbRO5iJhat9GV793rVlAQUrb2YejS0Jvf6xCZU7wO94CTLVBoCECdm7lbrSfOOq9dwovyE3iI%3D
  • http://ocsp2.{BLOCKED}sign.com/gsalphasha2g2/ME0wSzBJMEcwRTAJBgUrDgMCGgUABBSE1Wv4CYvTB7dm2OHrrWWWqmtnYQQU9c3VPAhQ%2BWpPOreX2laD5mnSaPcCDB5TsJB5araEF2AwGQ%3D%3D
  • http://ocsp2.{BLOCKED}sign.com/gsalphasha2g2/ME0wSzBJMEcwRTAJBgUrDgMCGgUABBSE1Wv4CYvTB7dm2OHrrWWWqmtnYQQU9c3VPAhQ%2BWpPOreX2laD5mnSaPcCDDKJ8rZlFcvNV2wxrA%3D%3D
  • http://ocsp2.{BLOCKED}sign.com/gsalphasha2g2/ME0wSzBJMEcwRTAJBgUrDgMCGgUABBSE1Wv4CYvTB7dm2OHrrWWWqmtnYQQU9c3VPAhQ%2BWpPOreX2laD5mnSaPcCDGI8Qms7w029OkdDyg%3D%3D
  • http://ocsp2.{BLOCKED}sign.com/gsalphasha2g2/ME0wSzBJMEcwRTAJBgUrDgMCGgUABBSE1Wv4CYvTB7dm2OHrrWWWqmtnYQQU9c3VPAhQ%2BWpPOreX2laD5mnSaPcCDHQ1MVn4uBXsWgZK3g%3D%3D
  • http://ocsp2.{BLOCKED}sign.com/rootr3/MEwwSjBIMEYwRDAJBgUrDgMCGgUABBT1nGh%2FJBjWKnkPdZIzB1bqhelHBwQUj%2FBLf6guRSSuTVD6Y5qL3uLdG7wCCwQAAAAAATGJxjnc
  • http://{BLOCKED}-ocsp.geotrust.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTmZIMUEJUkjAe%2BEzHPoAFQD7Po3gQUxHnKjqFOAx0c3GvbMVuUPj8wfy0CEEGCEn0S2cazITlDElZkALg%3D
  • http://{BLOCKED}sprungzimmer24.com:443
  • http://status.{BLOCKED}sl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRJiUKgT2m88fZ4nxc1Lu6M%2FjvkagQUDNtsgkkPSmcKuBTuesRIUojrVjgCEAkKtiAbsdV0fBsjok%2BycGA%3D
  • http://status.{BLOCKED}sl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRhhZrQET0hvbSHUJmNfBKqR%2FiT7wQUU8oXWfxrwAMhLxqu5KqoHIJW2nUCEAUz4NRCjup5AMVJfVAVMDc%3D
  • http://status.{BLOCKED}sl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRhhZrQET0hvbSHUJmNfBKqR%2FiT7wQUU8oXWfxrwAMhLxqu5KqoHIJW2nUCEAiA31axzQJ8Sl3jmboFAyk%3D
  • http://status.{BLOCKED}sl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRhhZrQET0hvbSHUJmNfBKqR%2FiT7wQUU8oXWfxrwAMhLxqu5KqoHIJW2nUCEAsQ6gLRQWkT%2BLKxgqemuOk%3D
  • http://status.{BLOCKED}sl.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBRhhZrQET0hvbSHUJmNfBKqR%2FiT7wQUU8oXWfxrwAMhLxqu5KqoHIJW2nUCEAzpucldbpbOgWy7ZQ%2BMjE4%3D
  • http://www.{BLOCKED}e.com:443
  • http://www.{BLOCKED}rsport.biz:443
  • http://www.{BLOCKED}thotelbasel.com:443
  • http://www.{BLOCKED}tarium.org:443
  • http://www.{BLOCKED}odge.com:443
  • http://www.{BLOCKED}otelzurich.com:443
  • http://www.{BLOCKED}enthaus.com:443
  • http://www.{BLOCKED}e-hotel.com:443
  • http://www.{BLOCKED}e.com/includes/image/dekerues.gif
  • http://www.{BLOCKED}ecouronne.com:443
  • http://www.{BLOCKED}emontblanc.com:443
  • http://www.{BLOCKED}uewiesen.com:443
  • http://www.{BLOCKED}ere-locarno.com:443
  • http://www.{BLOCKED}us-toni.com:443
  • http://www.{BLOCKED}sel.com:443
  • http://www.{BLOCKED}iinfissi.com:443
  • http://www.{BLOCKED}acolline.com:443
  • http://www.{BLOCKED}t.com:443
  • http://www.{BLOCKED}l-adelboden.com:443
  • http://www.{BLOCKED}o.net:443
  • http://www.{BLOCKED}esurcoux.net:443
  • http://www.{BLOCKED}egas-avocats.net:443
  • http://www.{BLOCKED}e-d-hote-chez-fleury.com:443
  • http://www.{BLOCKED}ge.com:443
  • http://www.{BLOCKED}n.org:443
  • http://www.{BLOCKED}mehrmarken.net:443
  • http://www.{BLOCKED}biel.com:443
  • http://www.{BLOCKED}hotel.com:443
  • http://www.{BLOCKED}mentalchalet.com:443
  • http://www.{BLOCKED}.com:443
  • http://www.{BLOCKED}ht.net:443
  • http://www.{BLOCKED}gs-hotel.com/uploads/pictures/thsoamruzu.gif
  • http://www.{BLOCKED}gs-hotel.com:443
  • http://www.{BLOCKED}gs-hotels.com:443
  • http://www.{BLOCKED}ay.biz:443
  • http://www.{BLOCKED}-schwyn.mehrmarken.net:443
  • http://www.{BLOCKED}le.net:443
  • http://www.{BLOCKED}.frasershospitality.com:443
  • http://www.{BLOCKED}golf.com:443
  • http://www.{BLOCKED}elier.net:443
  • http://www.{BLOCKED}nau.biz:443
  • http://www.{BLOCKED}ckhoteldavos.
  • http://www.{BLOCKED}neva.com:443
  • http://www.{BLOCKED}ck.biz:443
  • http://www.{BLOCKED}blumental.com:443
  • http://www.{BLOCKED}hotel-zermatt.com:443
  • http://www.{BLOCKED}hotelalbanareal.com:443
  • http://www.{BLOCKED}hotelchery.com:443
  • http://www.{BLOCKED}hoteldreirosen.net:443
  • http://www.{BLOCKED}hotelfarinet.com:443
  • http://www.{BLOCKED}hotelgarni-battello.com:443
  • http://www.{BLOCKED}hotelglanis.com:443
  • http://www.{BLOCKED}hotellido-lugano.com:443
  • http://www.{BLOCKED}hotelnationalzermatt.ch:443
  • http://www.{BLOCKED}hotelolden.com:443
  • http://www.{BLOCKED}hotelrotonde.com:443
  • http://www.{BLOCKED}hoteltruite.com:443
  • http://www.{BLOCKED}hotelweisshorn.com:443
  • http://www.{BLOCKED}hrk-ramoz.com:443
  • http://www.{BLOCKED}huusgstaad.com:443
  • http://www.{BLOCKED}ibis.com:443
  • http://www.{BLOCKED}kreatifs.net:443
  • http://www.{BLOCKED}kroneregensberg.com:443
  • http://www.{BLOCKED}la-fontaine.com:443
  • http://www.{BLOCKED}lacommune.net:443
  • http://www.{BLOCKED}lassalle-haus.org:443
  • http://www.{BLOCKED}le-saint-hubert.com:443
  • http://www.{BLOCKED}lerichemond.com:443
  • http://www.{BLOCKED}limmathof.com:443
  • http://www.{BLOCKED}luganohoteladmiral.com:443
  • http://www.{BLOCKED}mercure.com:443
  • http://www.{BLOCKED}morcote-residenza.com:443
  • http://www.{BLOCKED}mountainhostel.com:443
  • http://www.{BLOCKED}nationalzermatt.ch:443
  • http://www.{BLOCKED}nationalzermatt.com:443
  • http://www.{BLOCKED}nett-coiffure.ch:443
  • http://www.{BLOCKED}neuhof.org:443
  • http://www.{BLOCKED}nh-hotels.com:443
  • http://www.{BLOCKED}osteriadelcentro.net:443
  • http://www.{BLOCKED}petit-paradis.com:443
  • http://www.{BLOCKED}pizcam.com:443
  • http://www.{BLOCKED}puurehuus.com:443
  • http://www.{BLOCKED}r-coiffure.net:443
  • http://www.{BLOCKED}relais-crosets.com:443
  • http://www.{BLOCKED}salon-coiffure-geneve.net:443
  • http://www.{BLOCKED}samnaunerhof.com:443
  • http://www.{BLOCKED}schwendelberg.com:443
  • http://www.{BLOCKED}seitensprungzimmer24.com:443
  • http://www.{BLOCKED}seminarhotel.com:443
  • http://www.{BLOCKED}stalden.com/index.cfm
  • http://www.{BLOCKED}stalden.com:443
  • http://www.{BLOCKED}staubbach.com:443
  • http://www.{BLOCKED}stchristophesa.com:443
  • http://www.{BLOCKED}swisswellness.com:443
  • http://www.{BLOCKED}torhotel.com:443
  • http://www.{BLOCKED}ueberland-garage.mehrmarken.net:443
  • http://www.{BLOCKED}vignobledore.com:443
  • http://www.{BLOCKED}vitatertia.org:443
  • http://www.{BLOCKED}von-arx.net:443
  • http://www.{BLOCKED}waageglarus.com:443
  • http://www.{BLOCKED}whitepod.com:443

ランサムウェアの不正活動

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .vffyiuyd

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Encrypted Directory}\VFFYIUYD-DECRYPT.txt


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.558.03
初回 VSAPI パターンリリース日 2018年10月11日
VSAPI OPR パターンバージョン 14.559.00
VSAPI OPR パターンリリース日 2018年10月12日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • ex_data
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • keys_data

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Control Panel\Desktop
    • From: Wallpaper = "%User Temp%\pidor.bmp"
      To: Wallpaper = "{User Preference}"

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\pidor.bmp
  • {Encrypted Directory}\VFFYUIYD-DECRYPT.txt

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom_GANDCRAB.THAOAAAH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください