RANSOM_PURGE.F116J4
Ransom.Globe (Malwarebytes)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %AppdataLocal%\x3m.exe
マルウェアは、以下のコンポーネントファイルを作成します。
- {folder of encrypted files}\How to restore files.hta - ransom note
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{GUID} = "%AppDataLocal%\x3m.exe"
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Globe
temp = {random string}
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- 7z
- 7zip
- 8
- 88
- 888
- 8ba
- 8bc
- 8be
- 8bf
- 8bi8
- 8bl
- 8bs
- 8bx
- 8by
- 8li
- 9
- 99
- 999
- a2c
- aa
- aa3
- aac
- aaf
- ab4
- abf
- abk
- abw
- ac2
- ac3
- accdb
- accde
- accdr
- accdt
- ace
- ach
- acr
- act
- adb
- ade
- adi
- adp
- adpb
- adr
- ads
- adt
- aep
- aepx
- aes
- aet
- afp
- agd1
- agdl
- ai
- aif
- aiff
- aim
- aip
- ais
- ait
- ak
- al
- allet
- alt
- amf
- amr
- amu
- amx
- amxx
- anekspakiet
- aneksskrypt
- ans
- aoi
- ap
- ape
- api
- apj
- apk
- apnx
- arc
- arch00
- ari
- arj
- aro
- arr
- art
- arw
- as
- as3
- asa
- asc
- ascx
- ase
- asf
- ashx
- asm
- asmx
- asp
- aspx
- asr
- asset
- asx
- automaticdestinations-ms
- avd
- avdata
- avhdx
- avi
- avs
- awg
- azf
- azs
- azw
- azw1
- azw3
- azw4
- b2a
- bac
- back
- backup
- backupdb
- bad
- bak
- bank
- bar
- bat
- bay
- bc6
- bc7
- bck
- bcp
- bdb
- bdp
- bdr
- bfa
- bgt
- bi8
- bib
- bic
- big
- bik
- bin
- bkf
- bkp
- bkup
- blend
- blob
- blp
- bmc
- bmf
- bml
- bmp
- boc
- bp2
- bp3
- bpk
- bpl
- bpw
- brd
- bsa
- bsk
- bsp
- bt
- btoa
- bus
- bvd
- c
- cab
- cag
- cam
- camproj
- cap
- car
- cas
- cat
- cbf
- cbr
- cbz
- cc
- ccd
- ccf
- cch
- cd
- cdf
- cdi
- cdr
- cdr3
- cdr4
- cdr5
- cdr6
- cdrw
- cdx
- ce1
- ce2
- cef
- cer
- cert
- cfg
- cfp
- cfr
- cgf
- cgi
- cgm
- cgp
- chk
- chm
- chml
- cib
- class
- clr
- cls
- clx
- cmf
- cms
- cmt
- cnf
- cng
- cnt
- cod
- col
- com
- con
- conf
- config
- contact
- cp
- cpi
- cpio
- cpp
- cr2
- craw
- crd
- crt
- crw
- crwl
- crypt
- crypted
- cryptra
- cs
- csh
- csi
- csl
- cso
- csr
- css
- csv
- ctt
- cty
- cue
- cwf
- d3dbsp
- dac
- dal
- dap
- das
- dash
- dat
- data
- database
- dayzprofile
- dazip
- db
- db_journal
- db0
- db3
- dba
- dbb
- dbd
- dbf
- dbfv
- db-journal
- dbx
- dc2
- dc4
- dch
- dco
- dcp
- dcr
- dcs
- dct
- dcu
- ddc
- ddcx
- ddd
- ddoc
- ddrw
- dds
- def
- default
- dem
- deploy
- der
- des
- desc
- design
- desklink
- dev
- dex
- dfm
- dgc
- dic
- dif
- dii
- dim
- dime
- dip
- dir
- directory
- disc
- disk
- dit
- divx
- diz
- djv
- djvu
- dk
- dlc
- dll
- dmg
- dmp
- dmp1
- dmp2
- dmp3
- dmp4
- dmp5
- dmp6
- dmp7
- dmp8
- dmp9
- dng
- dob
- doc
- docb
- docm
- docx
- dot
- dotm
- dotx
- dox
- dpk
- dpl
- dpr
- drf
- drw
- dsk
- dsp
- dtd
- dtddb
- dtpage
- dtrestore
- dvd
- dvi
- dvx
- dwg
- dxb
- dxe
- dxf
- dxg
- e
- e4a
- edb
- efl
- efr
- efu
- efx
- eip
- elf
- emc
- emf
- eml
- enc
- enx
- ep
- epk
- epp
- eps
- epub
- epx
- eql
- erbsql
- erf
- err
- esf
- esm
- euc
- evo
- evtx
- ex
- exe
- exf
- exif
- f90
- faq
- fbk
- fcd
- fdb
- fdr
- fds
- ff
- ffd
- fff
- fh
- fhd
- fk
- fkx
- fla
- flac
- flf
- flk
- flp
- flt
- flv
- flvv
- fmx
- fnc
- for
- forge
- fos
- fp7
- fpenc
- fpk
- fpp
- fpt
- fpx
- frm
- fsh
- fss
- fxg
- gam
- gbkk
- gdb
- gfe
- gfx
- gho
- gif
- gm
- gmx
- gpg
- gr
- gray
- grey
- grf
- groups
- grs
- grx
- gry
- gthr
- gxk
- gz
- gzig
- gzip
- h
- h3m
- h4r
- hbk
- hbx
- hdd
- hds
- hex
- his
- hkdb
- hkx
- hplg
- hpp
- hqx
- htm
- html
- htpasswd
- hvpl
- hwp
- i01
- i02
- i03
- i04
- i05
- iam
- iar
- ib
- ibank
- ibd
- ibz
- ico
- ics
- icxs
- idl
- idml
- idx
- ie5
- ie6
- ie7
- ie8
- ie9
- iff
- iif
- iiq
- img
- incpas
- ind
- indb
- indd
- indl
- indt
- inf
- ini
- ink
- inx
- ipa
- ipe
- ipt
- iso
- isu
- isz
- itdb
- itl
- itm
- iv2i
- iwd
- iwi
- jac
- jar
- jav
- java
- jbc
- jc
- jfif
- jge
- jgz
- jif
- jiff
- jnt
- jpc
- jpe
- jpeg
- jpf
- jpg
- jpw
- jrc
- jrs
- js
- json
- jsp
- just
- k25
- kc2
- kdb
- kdbx
- kdc
- kde
- key
- kf
- klq
- kmz
- kod
- kom
- kpdx
- ksb
- ksb2
- kwd
- kwm
- l
- laccdb
- lastlogin
- lay
- lay6
- layout
- lbf
- lbi
- lcd
- lcf
- lck
- lcn
- ldb
- ldf
- len
- lgp
- lib
- lic
- lit
- litemod
- lng
- lngttarch2
- lnk
- localstorage
- lock
- locky
- log
- lp2
- lpa
- lrf
- lrg
- lst
- ltm
- ltr
- ltx
- lua
- lvivt
- lvl
- lzf
- m
- m2
- m2ts
- m3u
- m3u8
- m4a
- m4p
- m4u
- m4v
- mac
- mag
- man
- manifest
- map
- mapimail
- max
- mbox
- mbx
- mcd
- mcgame
- mcmeta
- mcrp
- md
- md0
- md1
- md2
- md3
- md5
- mdb
- mdbackup
- mdc
- mddata
- mdf
- mdl
- mdn
- mds
- mef
- menu
- meo
- mfw
- mic
- mid
- mim
- mime
- mip
- mjd
- mkd
- mkv
- mlb
- mlx
- mm6
- mm7
- mm8
- mme
- mml
- mmw
- mnu
- mny
- mobi
- mod
- moneywell
- mos
- mov
- movie
- moz
- mp1
- mp2
- mp3
- mp4
- mp4v
- mpa
- mpe
- mpeg
- mpg
- mpq
- mpqge
- mpv2
- mrw
- mrwref
- mse
- msg
- msi
- msp
- mst
- mts
- mui
- mxl
- mxp
- myd
- myi
- myo
- nav
- ncd
- ncf
- nd
- ndd
- ndf
- nds
- nef
- nfo
- nk2
- nop
- now
- nrg
- nri
- nrw
- ns2
- ns3
- ns4
- nsd
- nsf
- nsg
- nsh
- ntl
- number
- nvram
- nwb
- nwd
- nx1
- nx2
- nxl
- nyf
- nzb
- o
- oab
- obj
- ocx
- odb
- odc
- odf
- odg
- odi
- odm
- odp
- ods
- odt
- oft
- oga
- ogg
- oil
- opd
- opf
- orf
- ost
- otg
- oth
- otp
- ots
- ott
- out
- ova
- owl
- oxps
- oxt
- p12
- p7b
- p7c
- pab
- pack
- pages
- pak
- paq
- par
- pas
- pat
- pbd
- pbf
- pbk
- pbp
- pbs
- pcd
- pct
- pcv
- pd
- pdb
- pdc
- pdd
- pdj
- pdl
- pef
- pem
- pfx
- php
- pkb
- pkey
- pkg
- pkh
- pkpass
- pl
- plb
- plc
- pli
- pls
- plt
- plus_muhd
- ply
- pm
- pmd
- png
- po
- pot
- potm
- potx
- ppam
- ppd
- ppf
- ppj
- pps
- ppsm
- ppsx
- ppt
- pptm
- pptx
- prc
- prel
- prf
- props
- prproj
- prt
- ps
- psa
- psafe3
- psd
- psk
- pspimage
- pst
- psw6
- ptb
- ptr
- ptx
- pub
- puz
- pwf
- pwi
- pwm
- pxp
- py
- qba
- qbb
- qbm
- qbr
- qbw
- qbx
- qby
- qcow
- qcow2
- qdf
- qed
- qel
- qic
- qif
- qpx
- qr2
- qr3
- qt
- qtq
- qtr
- qtx
- r00
- r01
- r02
- r03
- r3d
- ra
- ra2
- raf
- ram
- rap
- rar
- rat
- raw
- rb
- rdb
- rdf
- rdi
- rdp
- re4
- rec
- reg
- rep
- res
- result
- rev
- rgn
- rgss3a
- rim
- rll
- rm
- rng
- rofl
- rpf
- rpt
- rrt
- rsdf
- rsds
- rsrc
- rsw
- rte
- rtf
- rtm
- rts
- rtx
- rum
- run
- rv
- rvt
- rw2
- rwl
- rwz
- rxl
- rzk
- rzx
- s
- s1
- s10
- s11
- s12
- s13
- s14
- s15
- s16
- s17
- s18
- s19
- s2
- s20
- s21
- s22
- s23
- s24
- s25
- s26
- s27
- s28
- s29
- s3
- s3db
- s4
- s5
- s6
- s7
- s8
- s9
- sad
- saf
- safe
- sal
- sas7bdat
- sav
- save
- say
- sb
- sbb
- sc2save
- sch
- scm
- scn
- scx
- sd0
- sd1
- sda
- sdb
- sdc
- sdf
- sdi
- sdn
- sdo
- sds
- sdt
- search-ms
- sef
- sen
- ses
- sf
- sfs
- sft
- sfx
- sgz
- sh
- shar
- shr
- shw
- shy
- sid
- sidd
- sidn
- sie
- sis
- skb
- skp
- sldm
- sldx
- slf
- slk
- slm
- slt
- sme
- sn1
- sn10
- sn11
- sn12
- sn13
- sn14
- sn15
- sn16
- sn17
- sn18
- sn19
- sn2
- sn20
- sn21
- sn22
- sn23
- sn24
- sn25
- sn26
- sn27
- sn28
- sn29
- sn3
- sn30
- sn4
- sn5
- sn6
- sn7
- sn8
- sn9
- sna
- snk
- snp
- snx
- so
- sp
- spd
- spr
- spx
- sql
- sqlite
- sqlite3
- sqlitedb
- sqllite
- sqx
- sr2
- srf
- srt
- srw
- ssa
- st4
- st5
- st6
- st7
- st8
- stc
- std
- sti
- stm
- stp
- stt
- stw
- stx
- sud
- suf
- sum
- sv2i
- svg
- svi
- svr
- swd
- swf
- switch
- sxc
- sxd
- sxg
- sxi
- sxm
- sxw
- syncdb
- sys
- t01
- t03
- t05
- t12
- t13
- tar
- tax
- tax2013
- tax2014
- tbk
- tbz2
- tch
- tcx
- template
- tex
- text
- tg
- tga
- tgz
- thm
- thmx
- tib
- tif
- tiff
- tlg
- tlz
- tmpl
- toast
- tor
- torrent
- tpu
- tpx
- trash
- trc
- trn
- trp
- ts
- ttf
- tu
- tur
- txd
- txf
- txt
- typ
- uax
- udf
- uea
- umx
- unity3d
- unr
- unx
- uop
- uot
- upk
- upoi
- url
- usa
- usr
- usx
- ut2
- ut3
- utc
- utx
- uu
- uud
- uue
- uvx
- uxx
- val
- var
- vault
- vbox
- vbs
- vc
- vcd
- vcf
- vdf
- vdi
- vdo
- ver
- vfs0
- vhd
- vhdx
- vlc
- vlt
- vmdk
- vmf
- vmsd
- vmt
- vmx
- vmxf
- vob
- vp
- vpk
- vpp_pc
- vsd
- vsi
- vsv
- vtf
- w3g
- w3x
- wab
- wad
- wallet
- war
- wav
- wave
- waw
- wb2
- wbk
- wd
- wdgt
- wds
- wdt
- wdx
- wim
- wks
- wm
- wma
- wmd
- wmdb
- wmmp
- wmo
- wmv
- wmx
- wotreplay
- wow
- wpd
- wpe
- wpk
- wpl
- wps
- wrl
- wsh
- wtd
- wtf
- wvx
- x11
- x3f
- xal
- xel
- xf
- xis
- xl
- xla
- xlam
- xlc
- xlk
- xll
- xlm
- xlr
- xls
- xlsb
- xlsm
- xlsx
- xlt
- xltm
- xltx
- xlv
- xlw
- xlwx
- xml
- xpc
- xpi
- xpo
- xps
- xpt
- xqx
- xsd
- xsl
- xtbl
- xva
- xvid
- xwd
- xxe
- xxx
- yab
- ycbcra
- yenc
- yml
- ync
- yps
- yuv
- z02
- z04
- zap
- zepto
- zip
- zipx
- zoo
- zps
- ztmp
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {random characters}.blt
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
対応方法
手順 1
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %AppDataLocal%\x3m.exe
- {Folder of encrypted files}\ How to restore files.hta
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- {GUID} = "%AppDataLocal%\x3m.exe"
- {GUID} = "%AppDataLocal%\x3m.exe"
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_PURGE.F116J4」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください