RANSOM_MAGNIBER.R
Ransom:Win32/Magniber (Microsoft) ; Trojan-Ransom.Win32.Magni.bdl (Kaspersky)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\Users\Public\README.txt
- {Encrypted Directory}\README.txt
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のプロセスを追加します。
- notepad.exe
- pcalua.exe -a http://h5wooy802ia4669395d.fitmuch.pw/3123dyaaghemy -> Displays the payment options
- pcalua.exe -a eventvwr.exe -> Elevate UAC settings to HIGH
- "%System%\notepad.exe" %System Root%\Users\Public\README.txt -> Display Ransom Note
- "cmd.exe" /c "%System%\wbem\wmic shadowcopy delete" -> Delete backup images/shadowcopies
マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- notepad.exe (added process)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- dyaaghemy
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_USERS\{SID}_CLASSES\mscfile\
shell\open\command
= cmd.exe /c "%SystemRoot%\system32\wbem\wmic shadowcopy delete"
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- doc
- docx
- xls
- xlsx
- ppt
- pptx
- pst
- ost
- msg
- em
- vsd
- vsdx
- csv
- rtf
- wks
- dwg
- snt
- gkn
- docm
- dot
- dotm
- dotx
- xlsm
- xlsb
- xlw
- xlt
- xlm
- xlc
- xltx
- xltm
- pptm
- pot
- pps
- ppsm
- ppsx
- ppam
- potx
- potm
- edb
- hwp
- sxi
- sti
- sldx
- sldm
- vdi
- vmx
- gpg
- aes
- raw
- cgm
- nef
- psd
- ai
- svg
- djvu
- sh
- class
- jar
- java
- rb
- asp
- php
- jsp
- brd
- sch
- dch
- dip
- p
- vb
- vbs
- js
- asm
- h
- pas
- cpp
- c
- cs
- suo
- sln
- ldf
- mdf
- ibd
- myi
- myd
- frm
- odb
- dbf
- db
- mdb
- accdb
- sq
- asc
- lay
- mm
- sxm
- otg
- odg
- uop
- std
- sxd
- otp
- odp
- slk
- dif
- stc
- sxc
- ots
- ods
- max
- uot
- stw
- sxw
- ott
- odt
- pem
- csr
- crt
- key
- pfx
- der
- cd
- arw
- jpe
- eq
- adp
- odm
- dbc
- frx
- dbs
- pds
- pdt
- dt
- cf
- cfu
- mx
- epf
- kdbx
- erf
- vrp
- grs
- geo
- st
- pff
- mft
- efd
- rib
- ma
- lwo
- lws
- mb
- obj
- x
- fbx
- dgn
- abs
- adn
- aft
- ahd
- alf
- ask
- awdb
- ba*
- bdb
- bib
- bnd
- bok
- btr
- cdb
- ckp
- clkw
- cma
- crd
- dad
- daf
- dbk
- dbt
- dbv
- dbx
- dcb
- dct
- dcx
- dd
- dmo
- dnc
- dqy
- dsk
- dsn
- dta
- dtsx
- eco
- ecx
- emd
- fcd
- fic
- fid
- fi
- fo
- fpt
- g*b
- g*v
- gdb
- gwi
- hdb
- his
- ib
- idc
- ihx
- itdb
- itw
- jtx
- kdb
- lgc
- maq
- mdn
- mdt
- mrg
- mud
- mwb
- ndf
- nsf
- nyf
- oce
- oqy
- ora
- orx
- owc
- owg
- oyx
- pan
- pdb
- pdm
- phm
- po*
- pth
- pwa
- qpx
- qry
- qvd
- rctd
- rdb
- rpd
- rsd
- sbf
- sdb
- sdf
- spq
- sqb
- stp
- str
- tcx
- tdt
- te
- tmd
- trm
- udb
- usr
- vdb
- vpd
- wdb
- wmdb
- xdb
- xld
- xlgc
- a*db
- a*dc
- cdr
- abw
- act
- aim
- ans
- apt
- ase
- aty
- awp
- awt
- aww
- bad
- bbs
- bdp
- bdr
- bean
- bna
- boc
- btd
- cnm
- crw
- cyi
- dca
- dgs
- dj*
- dne
- dod*
- dsv
- dvi
- eio
- eit
- emlx
- epp
- err
- etf
- etx
- euc
- faq
- fb
- fcf
- fdf
- fdr
- fds
- fdt
- fdx
- fdxt
- fes
- fft
- flr
- fodt
- gtp
- frt
- fwdn
- fxc
- gdoc
- gio
- gpn
- gsd
- gthr
- gv
- hbk
- hht
- hs
- htc
- i*
- idx
- ii
- ipf
- jis
- joe
- jrtf
- kes
- klg
- knt
- kon
- kwd
- lbt
- lis
- lit
- lnt
- lrc
- lst
- ltr
- ltx
- lue
- luf
- lwp
- lyt
- lyx
- man
- map
- mbox
- me
- mel
- min
- mnt
- mwp
- nfo
- njx
- now
- o*b
- ocr
- odo
- of
- oft
- ort
- pfs
- pjt
- prt
- psw
- pu
- pvj
- pvm
- pwi
- pwr
- qd
- rad
- rft
- ris
- rng
- rpt
- rst
- rt
- rtd
- rtx
- run
- s*k
- s*n
- saf
- sam
- scc
- scm
- sct
- scw
- sdm
- sdoc
- sdw
- sgm
- sig
- sla
- sls
- smf
- sms
- ssa
- sty
- sub
- sxg
- tab
- tdf
- tex
- text
- thp
- tlb
- tm
- tmv
- tmx
- tpc
- tvj
- unx
- uof
- upd
- utxt
- vct
- vnt
- vw
- wbk
- wcf
- wh*
- wn
- wpa
- wpd
- wps
- wpt
- wpw
- wri
- wsc
- wsd
- wsh
- wtx
- xd
- xlf
- xps
- xwp
- xyp
- xyw
- ybk
- ym
- a*abw
- a*w
- abm
- afx
- agif
- agp
- aic
- albm
- apd
- apm
- apng
- aps
- apx
- art
- asw
- bay
- bmx
- brk
- brn
- brt
- bss
- bti
- ca
- cals
- can
- cdc
- cdg
- cimg
- cin
- cit
- com*
- cpc
- cpd
- cpg
- cps
- cpx
- ct
- dcr
- dds
- dgt
- dib
- djv
- dmi
- vue
- dpx
- wire
- ds*
- dtw
- dv
- ecw
- eip
- exr
- fa
- fax
- fpos
- fpx
- gcdp
- gfb
- gfie
- ggr
- gih
- gim
- spr
- scad
- gpd
- gro
- grob
- hdp
- hdr
- hpi
- icn
- icon
- icpr
- iiq
- info
- ipx
- iwi
- j
- jas
- jbig
- jbmp
- jbr
- jfif
- jia
- jng
- jps
- jpx
- jtf
- jw
- jxr
- kdc
- kdi
- kdk
- kic
- kpg
- lbm
- ljp
- mac
- mbm
- mef
- mnr
- mos
- mpf
- mpo
- mrxs
- my
- ncr
- nct
- nlm
- nrw
- oci
- omf
- oplc
- asy
- cdmm
- cdmt
- cdn*
- cdt
- cmx
- cnv
- csy
- cvg
- cvi
- cvs
- cvx
- cwt
- cxf
- dcs
- ded
- dhs
- dpp
- drw
- dxb
- dxf
- egc
- emf
- ep
- eps
- epsf
- fif
- fig
- fmv
- ftn
- fxg
- gem
- glox
- hp
- idea
- igt
- igx
- imd
- ink
- lmk
- mgcb
- mgmf
- mgmt
- mgmx
- mgtx
- mmat
- mat
- ovp
- ovr
- pcs
- pfv
- plt
- vrm
- pobj
- psid
- rd
- scv
- ssk
- stn
- svf
- svh*
- tlc
- tne
- ufr
- vbr
- vec
- vm
- vsdm
- vstm
- stm
- vstx
- wpg
- vsm
- xar
- ya
- orf
- ota
- oti
- p*b
- p*j
- p*t
- pa
- pano
- pap
- pbm
- pcd
- pdd
- pef
- pfi
- pgf
- pgm
- pic
- pict
- pix
- pjpg
- pm
- pmg
- pni
- pnm
- pntg
- pop
- ppm
- prw
- psdx
- pse
- psp
- ptg
- ptx
- pvr
- px
- pxr
- q*a
- q*p
- q*s
- qmg
- ras
- rcu
- rgb
- rgf
- ric
- riff
- rix
- rle
- rli
- rpf
- rri
- rs
- rsb
- rsr
- rw
- sci
- sep
- sfc
- sfw
- skm
- sld
- sob
- spa
- spe
- sph
- spj
- spp
- srw
- jpeg
- jpg
- vmdk
- arc
- paq
- tbk
- bak
- tar
- th*
- h*
- rar
- a*ip
- iso
- vcd
- bmp
- png
- gif
- tif
- tiff
- mid
- wma
- flv
- mkv
- mov
- avi
- asf
- mpeg
- vob
- mpg
- wmv
- fla
- swf
- wav
- (NOTE: * can be any number from 0-9)
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- boot
- intel
- winnt
- appdata
- recycle
- windows
- msocache
- perflogs
- recovery
- tor browser
- windows
- programdata
- sample music
- sample videos
- program files
- local settings
- sample pictures
- documents and settings
- system volume information
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- dyaaghemy
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}\README.txt
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_USERS\{SID}_CLASSES\mscfile\shell\open\command
- = cmd.exe /c "%SystemRoot%\system32\wbem\wmic shadowcopy delete"
- = cmd.exe /c "%SystemRoot%\system32\wbem\wmic shadowcopy delete"
手順 4
以下のファイルを検索し削除します。
- %System Root%\Users\Public\README.txt
- {Encrypted directory}\README.txt
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_MAGNIBER.R」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください