Trend Micro Security

RANSOM_PURGE.F116J4

2016年10月7日
 解析者: Ryan Gardo   

 別名:

Ransom.Globe (Malwarebytes)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。


  詳細

ファイルサイズ 164,864 bytes
タイプ EXE
メモリ常駐 はい
発見日 2016年9月26日
ペイロード メッセージボックスの表示

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %AppdataLocal%\x3m.exe

マルウェアは、以下のコンポーネントファイルを作成します。

  • {folder of encrypted files}\How to restore files.hta - ransom note

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{GUID} = "%AppDataLocal%\x3m.exe"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Globe
temp = {random string}

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

  • 7z
  • 7zip
  • 8
  • 88
  • 888
  • 8ba
  • 8bc
  • 8be
  • 8bf
  • 8bi8
  • 8bl
  • 8bs
  • 8bx
  • 8by
  • 8li
  • 9
  • 99
  • 999
  • a2c
  • aa
  • aa3
  • aac
  • aaf
  • ab4
  • abf
  • abk
  • abw
  • ac2
  • ac3
  • accdb
  • accde
  • accdr
  • accdt
  • ace
  • ach
  • acr
  • act
  • adb
  • ade
  • adi
  • adp
  • adpb
  • adr
  • ads
  • adt
  • aep
  • aepx
  • aes
  • aet
  • afp
  • agd1
  • agdl
  • ai
  • aif
  • aiff
  • aim
  • aip
  • ais
  • ait
  • ak
  • al
  • allet
  • alt
  • amf
  • amr
  • amu
  • amx
  • amxx
  • anekspakiet
  • aneksskrypt
  • ans
  • aoi
  • ap
  • ape
  • api
  • apj
  • apk
  • apnx
  • arc
  • arch00
  • ari
  • arj
  • aro
  • arr
  • art
  • arw
  • as
  • as3
  • asa
  • asc
  • ascx
  • ase
  • asf
  • ashx
  • asm
  • asmx
  • asp
  • aspx
  • asr
  • asset
  • asx
  • automaticdestinations-ms
  • avd
  • avdata
  • avhdx
  • avi
  • avs
  • awg
  • azf
  • azs
  • azw
  • azw1
  • azw3
  • azw4
  • b2a
  • bac
  • back
  • backup
  • backupdb
  • bad
  • bak
  • bank
  • bar
  • bat
  • bay
  • bc6
  • bc7
  • bck
  • bcp
  • bdb
  • bdp
  • bdr
  • bfa
  • bgt
  • bi8
  • bib
  • bic
  • big
  • bik
  • bin
  • bkf
  • bkp
  • bkup
  • blend
  • blob
  • blp
  • bmc
  • bmf
  • bml
  • bmp
  • boc
  • bp2
  • bp3
  • bpk
  • bpl
  • bpw
  • brd
  • bsa
  • bsk
  • bsp
  • bt
  • btoa
  • bus
  • bvd
  • c
  • cab
  • cag
  • cam
  • camproj
  • cap
  • car
  • cas
  • cat
  • cbf
  • cbr
  • cbz
  • cc
  • ccd
  • ccf
  • cch
  • cd
  • cdf
  • cdi
  • cdr
  • cdr3
  • cdr4
  • cdr5
  • cdr6
  • cdrw
  • cdx
  • ce1
  • ce2
  • cef
  • cer
  • cert
  • cfg
  • cfp
  • cfr
  • cgf
  • cgi
  • cgm
  • cgp
  • chk
  • chm
  • chml
  • cib
  • class
  • clr
  • cls
  • clx
  • cmf
  • cms
  • cmt
  • cnf
  • cng
  • cnt
  • cod
  • col
  • com
  • con
  • conf
  • config
  • contact
  • cp
  • cpi
  • cpio
  • cpp
  • cr2
  • craw
  • crd
  • crt
  • crw
  • crwl
  • crypt
  • crypted
  • cryptra
  • cs
  • csh
  • csi
  • csl
  • cso
  • csr
  • css
  • csv
  • ctt
  • cty
  • cue
  • cwf
  • d3dbsp
  • dac
  • dal
  • dap
  • das
  • dash
  • dat
  • data
  • database
  • dayzprofile
  • dazip
  • db
  • db_journal
  • db0
  • db3
  • dba
  • dbb
  • dbd
  • dbf
  • dbfv
  • db-journal
  • dbx
  • dc2
  • dc4
  • dch
  • dco
  • dcp
  • dcr
  • dcs
  • dct
  • dcu
  • ddc
  • ddcx
  • ddd
  • ddoc
  • ddrw
  • dds
  • def
  • default
  • dem
  • deploy
  • der
  • des
  • desc
  • design
  • desklink
  • dev
  • dex
  • dfm
  • dgc
  • dic
  • dif
  • dii
  • dim
  • dime
  • dip
  • dir
  • directory
  • disc
  • disk
  • dit
  • divx
  • diz
  • djv
  • djvu
  • dk
  • dlc
  • dll
  • dmg
  • dmp
  • dmp1
  • dmp2
  • dmp3
  • dmp4
  • dmp5
  • dmp6
  • dmp7
  • dmp8
  • dmp9
  • dng
  • dob
  • doc
  • docb
  • docm
  • docx
  • dot
  • dotm
  • dotx
  • dox
  • dpk
  • dpl
  • dpr
  • drf
  • drw
  • dsk
  • dsp
  • dtd
  • dtddb
  • dtpage
  • dtrestore
  • dvd
  • dvi
  • dvx
  • dwg
  • dxb
  • dxe
  • dxf
  • dxg
  • e
  • e4a
  • edb
  • efl
  • efr
  • efu
  • efx
  • eip
  • elf
  • emc
  • emf
  • eml
  • enc
  • enx
  • ep
  • epk
  • epp
  • eps
  • epub
  • epx
  • eql
  • erbsql
  • erf
  • err
  • esf
  • esm
  • euc
  • evo
  • evtx
  • ex
  • exe
  • exf
  • exif
  • f90
  • faq
  • fbk
  • fcd
  • fdb
  • fdr
  • fds
  • ff
  • ffd
  • fff
  • fh
  • fhd
  • fk
  • fkx
  • fla
  • flac
  • flf
  • flk
  • flp
  • flt
  • flv
  • flvv
  • fmx
  • fnc
  • for
  • forge
  • fos
  • fp7
  • fpenc
  • fpk
  • fpp
  • fpt
  • fpx
  • frm
  • fsh
  • fss
  • fxg
  • gam
  • gbkk
  • gdb
  • gfe
  • gfx
  • gho
  • gif
  • gm
  • gmx
  • gpg
  • gr
  • gray
  • grey
  • grf
  • groups
  • grs
  • grx
  • gry
  • gthr
  • gxk
  • gz
  • gzig
  • gzip
  • h
  • h3m
  • h4r
  • hbk
  • hbx
  • hdd
  • hds
  • hex
  • his
  • hkdb
  • hkx
  • hplg
  • hpp
  • hqx
  • htm
  • html
  • htpasswd
  • hvpl
  • hwp
  • i01
  • i02
  • i03
  • i04
  • i05
  • iam
  • iar
  • ib
  • ibank
  • ibd
  • ibz
  • ico
  • ics
  • icxs
  • idl
  • idml
  • idx
  • ie5
  • ie6
  • ie7
  • ie8
  • ie9
  • iff
  • iif
  • iiq
  • img
  • incpas
  • ind
  • indb
  • indd
  • indl
  • indt
  • inf
  • ini
  • ink
  • inx
  • ipa
  • ipe
  • ipt
  • iso
  • isu
  • isz
  • itdb
  • itl
  • itm
  • iv2i
  • iwd
  • iwi
  • jac
  • jar
  • jav
  • java
  • jbc
  • jc
  • jfif
  • jge
  • jgz
  • jif
  • jiff
  • jnt
  • jpc
  • jpe
  • jpeg
  • jpf
  • jpg
  • jpw
  • jrc
  • jrs
  • js
  • json
  • jsp
  • just
  • k25
  • kc2
  • kdb
  • kdbx
  • kdc
  • kde
  • key
  • kf
  • klq
  • kmz
  • kod
  • kom
  • kpdx
  • ksb
  • ksb2
  • kwd
  • kwm
  • l
  • laccdb
  • lastlogin
  • lay
  • lay6
  • layout
  • lbf
  • lbi
  • lcd
  • lcf
  • lck
  • lcn
  • ldb
  • ldf
  • len
  • lgp
  • lib
  • lic
  • lit
  • litemod
  • lng
  • lngttarch2
  • lnk
  • localstorage
  • lock
  • locky
  • log
  • lp2
  • lpa
  • lrf
  • lrg
  • lst
  • ltm
  • ltr
  • ltx
  • lua
  • lvivt
  • lvl
  • lzf
  • m
  • m2
  • m2ts
  • m3u
  • m3u8
  • m4a
  • m4p
  • m4u
  • m4v
  • mac
  • mag
  • man
  • manifest
  • map
  • mapimail
  • max
  • mbox
  • mbx
  • mcd
  • mcgame
  • mcmeta
  • mcrp
  • md
  • md0
  • md1
  • md2
  • md3
  • md5
  • mdb
  • mdbackup
  • mdc
  • mddata
  • mdf
  • mdl
  • mdn
  • mds
  • mef
  • menu
  • meo
  • mfw
  • mic
  • mid
  • mim
  • mime
  • mip
  • mjd
  • mkd
  • mkv
  • mlb
  • mlx
  • mm6
  • mm7
  • mm8
  • mme
  • mml
  • mmw
  • mnu
  • mny
  • mobi
  • mod
  • moneywell
  • mos
  • mov
  • movie
  • moz
  • mp1
  • mp2
  • mp3
  • mp4
  • mp4v
  • mpa
  • mpe
  • mpeg
  • mpg
  • mpq
  • mpqge
  • mpv2
  • mrw
  • mrwref
  • mse
  • msg
  • msi
  • msp
  • mst
  • mts
  • mui
  • mxl
  • mxp
  • myd
  • myi
  • myo
  • nav
  • ncd
  • ncf
  • nd
  • ndd
  • ndf
  • nds
  • nef
  • nfo
  • nk2
  • nop
  • now
  • nrg
  • nri
  • nrw
  • ns2
  • ns3
  • ns4
  • nsd
  • nsf
  • nsg
  • nsh
  • ntl
  • number
  • nvram
  • nwb
  • nwd
  • nx1
  • nx2
  • nxl
  • nyf
  • nzb
  • o
  • oab
  • obj
  • ocx
  • odb
  • odc
  • odf
  • odg
  • odi
  • odm
  • odp
  • ods
  • odt
  • oft
  • oga
  • ogg
  • oil
  • opd
  • opf
  • orf
  • ost
  • otg
  • oth
  • otp
  • ots
  • ott
  • out
  • ova
  • owl
  • oxps
  • oxt
  • p12
  • p7b
  • p7c
  • pab
  • pack
  • pages
  • pak
  • paq
  • par
  • pas
  • pat
  • pbd
  • pbf
  • pbk
  • pbp
  • pbs
  • pcd
  • pct
  • pcv
  • pd
  • pdb
  • pdc
  • pdd
  • pdf
  • pdj
  • pdl
  • pef
  • pem
  • pfx
  • php
  • pkb
  • pkey
  • pkg
  • pkh
  • pkpass
  • pl
  • plb
  • plc
  • pli
  • pls
  • plt
  • plus_muhd
  • ply
  • pm
  • pmd
  • png
  • po
  • pot
  • potm
  • potx
  • ppam
  • ppd
  • ppf
  • ppj
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • prc
  • prel
  • prf
  • props
  • prproj
  • prt
  • ps
  • psa
  • psafe3
  • psd
  • psk
  • pspimage
  • pst
  • psw6
  • ptb
  • ptr
  • ptx
  • pub
  • puz
  • pwf
  • pwi
  • pwm
  • pxp
  • py
  • qba
  • qbb
  • qbm
  • qbr
  • qbw
  • qbx
  • qby
  • qcow
  • qcow2
  • qdf
  • qed
  • qel
  • qic
  • qif
  • qpx
  • qr2
  • qr3
  • qt
  • qtq
  • qtr
  • qtx
  • r00
  • r01
  • r02
  • r03
  • r3d
  • ra
  • ra2
  • raf
  • ram
  • rap
  • rar
  • rat
  • raw
  • rb
  • rdb
  • rdf
  • rdi
  • rdp
  • re4
  • rec
  • reg
  • rep
  • res
  • result
  • rev
  • rgn
  • rgss3a
  • rim
  • rll
  • rm
  • rng
  • rofl
  • rpf
  • rpt
  • rrt
  • rsdf
  • rsds
  • rsrc
  • rsw
  • rte
  • rtf
  • rtm
  • rts
  • rtx
  • rum
  • run
  • rv
  • rvt
  • rw2
  • rwl
  • rwz
  • rxl
  • rzk
  • rzx
  • s
  • s1
  • s10
  • s11
  • s12
  • s13
  • s14
  • s15
  • s16
  • s17
  • s18
  • s19
  • s2
  • s20
  • s21
  • s22
  • s23
  • s24
  • s25
  • s26
  • s27
  • s28
  • s29
  • s3
  • s3db
  • s4
  • s5
  • s6
  • s7
  • s8
  • s9
  • sad
  • saf
  • safe
  • sal
  • sas7bdat
  • sav
  • save
  • say
  • sb
  • sbb
  • sc2save
  • sch
  • scm
  • scn
  • scx
  • sd0
  • sd1
  • sda
  • sdb
  • sdc
  • sdf
  • sdi
  • sdn
  • sdo
  • sds
  • sdt
  • search-ms
  • sef
  • sen
  • ses
  • sf
  • sfs
  • sft
  • sfx
  • sgz
  • sh
  • shar
  • shr
  • shw
  • shy
  • sid
  • sidd
  • sidn
  • sie
  • sis
  • skb
  • skp
  • sldm
  • sldx
  • slf
  • slk
  • slm
  • slt
  • sme
  • sn1
  • sn10
  • sn11
  • sn12
  • sn13
  • sn14
  • sn15
  • sn16
  • sn17
  • sn18
  • sn19
  • sn2
  • sn20
  • sn21
  • sn22
  • sn23
  • sn24
  • sn25
  • sn26
  • sn27
  • sn28
  • sn29
  • sn3
  • sn30
  • sn4
  • sn5
  • sn6
  • sn7
  • sn8
  • sn9
  • sna
  • snk
  • snp
  • snx
  • so
  • sp
  • spd
  • spr
  • spx
  • sql
  • sqlite
  • sqlite3
  • sqlitedb
  • sqllite
  • sqx
  • sr2
  • srf
  • srt
  • srw
  • ssa
  • st4
  • st5
  • st6
  • st7
  • st8
  • stc
  • std
  • sti
  • stm
  • stp
  • stt
  • stw
  • stx
  • sud
  • suf
  • sum
  • sv2i
  • svg
  • svi
  • svr
  • swd
  • swf
  • switch
  • sxc
  • sxd
  • sxg
  • sxi
  • sxm
  • sxw
  • syncdb
  • sys
  • t01
  • t03
  • t05
  • t12
  • t13
  • tar
  • tax
  • tax2013
  • tax2014
  • tbk
  • tbz2
  • tch
  • tcx
  • template
  • tex
  • text
  • tg
  • tga
  • tgz
  • thm
  • thmx
  • tib
  • tif
  • tiff
  • tlg
  • tlz
  • tmpl
  • toast
  • tor
  • torrent
  • tpu
  • tpx
  • trash
  • trc
  • trn
  • trp
  • ts
  • ttf
  • tu
  • tur
  • txd
  • txf
  • txt
  • typ
  • uax
  • udf
  • uea
  • umx
  • unity3d
  • unr
  • unx
  • uop
  • uot
  • upk
  • upoi
  • url
  • usa
  • usr
  • usx
  • ut2
  • ut3
  • utc
  • utx
  • uu
  • uud
  • uue
  • uvx
  • uxx
  • val
  • var
  • vault
  • vbox
  • vbs
  • vc
  • vcd
  • vcf
  • vdf
  • vdi
  • vdo
  • ver
  • vfs0
  • vhd
  • vhdx
  • vlc
  • vlt
  • vmdk
  • vmf
  • vmsd
  • vmt
  • vmx
  • vmxf
  • vob
  • vp
  • vpk
  • vpp_pc
  • vsd
  • vsi
  • vsv
  • vtf
  • w3g
  • w3x
  • wab
  • wad
  • wallet
  • war
  • wav
  • wave
  • waw
  • wb2
  • wbk
  • wd
  • wdgt
  • wds
  • wdt
  • wdx
  • wim
  • wks
  • wm
  • wma
  • wmd
  • wmdb
  • wmmp
  • wmo
  • wmv
  • wmx
  • wotreplay
  • wow
  • wpd
  • wpe
  • wpk
  • wpl
  • wps
  • wrl
  • wsh
  • wtd
  • wtf
  • wvx
  • x11
  • x3f
  • xal
  • xel
  • xf
  • xis
  • xl
  • xla
  • xlam
  • xlc
  • xlk
  • xll
  • xlm
  • xlr
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xlt
  • xltm
  • xltx
  • xlv
  • xlw
  • xlwx
  • xml
  • xpc
  • xpi
  • xpo
  • xps
  • xpt
  • xqx
  • xsd
  • xsl
  • xtbl
  • xva
  • xvid
  • xwd
  • xxe
  • xxx
  • yab
  • ycbcra
  • yenc
  • yml
  • ync
  • yps
  • yuv
  • z02
  • z04
  • zap
  • zepto
  • zip
  • zipx
  • zoo
  • zps
  • ztmp

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

  • {random characters}.blt

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。


  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 12.816.07
初回 VSAPI パターンリリース日 2016年10月4日
VSAPI OPR パターンバージョン 12.817.00

手順 1

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %AppDataLocal%\x3m.exe
  • {Folder of encrypted files}\ How to restore files.hta

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • {GUID} = "%AppDataLocal%\x3m.exe"

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_PURGE.F116J4」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください