RANSOM_REDBOOT.A
Ransom.Tox (Symantec); Trojan.Win32.KillMBR.gfd (Kaspersky); Ransom:Win32/Genasom (Microsoft)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、感染コンピュータを再起動します。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\{random numbers}\main.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、以下のファイルを作成します。
- %User Profile%\{random numbers}\boot.asm -> will be compiled into boot.bin
- %User Profile%\{random numbers}\boot.bin -> new master boot record
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、以下のファイルを作成し実行します。
- %User Profile%\{random numbers}\assembler.exe -> used to compile boot.asm into boot.bin
- %User Profile%\{random numbers}\overwrite.exe -> used to overwrite the existing master boot record with boot.bin
- %User Profile%\{random numbers}\protect.exe -> used to terminate process related applications
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、以下のプロセスを追加します。
- %User Profile%\{random numbers}\assembler.exe -f bin %User Profile%\{random numbers}\boot.asm -o %User Profile%\{random numbers}\boot.bin
- %User Profile%\{random numbers}\overwrite.exe %User Profile%\{random numbers}\boot.bin
- %User Profile%\{random numbers}\protect.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、以下のフォルダを作成します。
- %User Profile%\{random numbers}
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- taskmgr.exe
その他
マルウェアは、感染コンピュータを再起動します。
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- .aif
- .aifc
- .aiff
- .asf
- .asx
- .au
- .bas
- .bat
- .bmp
- .cmd
- .com
- .config
- .cpl
- .dib
- .doc
- .docx
- .dot
- .dvr-ms
- .emf
- .exe
- .gif
- .hta
- .htm
- .html
- .ico
- .ini
- .ivf
- .jfif
- .jpe
- .jpeg
- .jpg
- .m1v
- .m3u
- .mht
- .mid
- .midi
- .mp2
- .mp2v
- .mp3
- .mpa
- .mpe
- .mpeg
- .mpg
- .mpv2
- .msilnk
- .pdb
- .pif
- .png
- .pot
- .pps
- .ppt
- .pptx
- .reg
- .rle
- .rmi
- .rtf
- .scr
- .search-ms
- .snd
- .tif
- .tiff
- .txt
- .vb
- .wav
- .wax
- .wm
- .wma
- .wmf
- .wmv
- .wmx
- .wvx
- .xbap
- .xls
- .xlsx
- .xlt
- .xlw
- .xml
- .xps
- .zip
マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。
- %Desktop%
- %User Profile%\Downloads
- %User Profile%\Music
- %User Profile%\Pictures
- %User Profile%\Videos
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .locked
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Master Boot Record(MBR)を修復します。
Master Boot Record(MBR)の修復:
• Windows 2000、XP および Server 2003 の場合:
- 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行してください。検出したパス名およびファイル名を確認し、メモ等をとってください。
- Windows のインストール CD を使用して、コンピュータを再起動します。
- [セットアップへようこそ] 画面で、修復の R キーを押します。
(註: Windows 2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。) - 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
- 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
- コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
- 以下のコマンドを入力し、Enter を押します。
fixmbr <感染したドライブ>
※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。
※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。 - コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。
• Windows Vista および 7、Windows Server 2008の場合:
- 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
- Windows のインストール DVD を使用して、コンピュータを再起動します。
- 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
- Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
- [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム(OS)を選択し、[次へ]をクリックします。
- [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
- [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
- 以下のコマンドを入力し、Enter を押します。
BootRec.exe /fixmbr - コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
- [再起動]をクリックし、コンピュータを通常どおり再起動してください。
• Windows 8、8.1、Server 2012 の場合:
- Windows のインストールDVDを使用して、コンピュータを再起動します。
- インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
- [トラブルシューティング]-[詳細オプション]-[コマンドプロンプト]を選択。
- [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
BootRec.exe /fixmbr - 上記で検出されたすべてのファイルについてこの手順を繰り返します。
- exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
- [再起動]をクリックし、コンピュータを通常起動します。
ご利用はいかがでしたか? アンケートにご協力ください