RANSOM_RUSSENGER.THBBOAH
Trojan-Ransom.Win32.Cryptor.brd (KASPERSKY), Ransom.GandCrab (Norton), Troj/Rusenger-A (Sophos_LITE)
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- 2111143252160967372
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- .zip
- .rar
- .7z
- .tar
- .gzip
- .gz
- .tgz
- .arj
- .jpg
- .jpeg
- .psd
- .cdr
- .dwg
- .max
- .bmp
- .gif
- .png
- .doc
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
- .rtf
- .djvu
- .htm
- .html
- .efd
- .txt
- .mdb
- .cer
- .p12
- .pfx
- .kwm
- .pwm
- .md
- .mdf
- .iso
- .tib
- .nrg
- .gho
- .ghost
- .ghs
- .bak
- .bkp
- .bkf
- .1cd
- .2cd
- .1cd2
- .dbf
- .dd
- .ert
- .cf
- .cfu
- .erf
- .epf
- .dt
- .cdx
- .pfl
- .lst
- .gdb
- .gbk
- .fdb
- .fbk
- .ldf
- .sql
- .odt
- .rn
- .ifo
- .lnk
- .cbu
- .mov
- .m2v
- .dbx
- .bln
- .dic
- .tpl
- .a2u
- .mcx
- .key
- .mkd
- .bkc
- .wav
- .tbh
- .tbc
- .tbb
- .tbn
- .rst
- .sel
- .pas
- .ib
- .zrb
- .eif
- .pgd
- .trn
- .nbi
- .res
- .hbk
- .eps
- .indd
- .ods
- .ppd
- .pln
- .plan
- .bpn
- .blf
- .ldw
- .box
- .frw
- .pst
- .mxl
- .xml
- .idf
- .war
- .tab
- .nbr
- .hdf
- .rcf
- .lgp
- .lgf
- .elf
- .pgp
- .frf
- .vhd
- .frp
- .gsh
- .eet
- .gdoc
- .hbi
- .svc
- .dmp
- .accdb
- .csv
- .arc
- .mb
- .px
- .xg0
- .yg0
- .db.
- .abd
- .flx
- .srx
- .tbi
- .his
- .dfp
- .packed
- .backup
- .map
- .vmem
- .vmdk
- .zsp
- .bpl
- .1cl
- .bac
- .tbk
- .lzh
- .udb
- .7zip
- .mxlz
- .bls
- .rbf
- .bdf
- .bde
- .vbe
- .vbk
- .dbk
- .bks
- .frm
- .myd
- .myi
- .php
- .vrd
- .nbk
- .bip
- .qib
- .cbf
- .info
- .export
- .wbverify
- .wbcat
- .cdb
- .ima
- .imh
- .vbx
- .jbc
- .sqm
- .cfl
- .tmp
- .mig
- .apc
- .vhdx
- .ldb
- .lgd
- .edb
- .vsv
- .avhd
- .wim
- .cuc
- .mft
- .tbl
- .adb
- .car
- .ver
- .nvram
- .vmx
- .vmxf
- .vmss
- .tmf
- .dump
- .eml
- .msf
- .ndf
- .dcm
- .stm
- .vdi
- .bz2
- .xlsb
- .old
- .pf
- .pml
- .idx
- .lbl
- .lvd
- .prv
- .tmp0
- .pak
- .local
- .rec
- .ifs
- .xsd
- .dpr
- .dproj
- .dcu
- .fpf
- .ps1
- .saved
- .save
- .cpr
- .bf
- .bf3
- .rep
- .apk
- .sct
- .fxp
- .vct
- .fpt
- .prg
- .vcx
- .xxx
- .ora
- .sfpe
- .svp
- .ogd
- .rdf
- .frx
- .dot
- .rpt
- .pm
- .pl
- .ctl
- .gbp
- .sfpz
- .scn
- .ord
- .fil
- .ect
- .ava
- .1ey
- .mde
- .wnw
- .vvr
- .dfb
- .dff
- .rsu
- .gsn
- .pdt
- .vdb
- .ddt
- .6tr
- .pkg
- .trc
- .lg
- .ddf
- .str
- .9tr
- .8tr
- .8t0
- .upd
- .ndt
- .pbf
- .one
- .onetoc2
- .rpb
- .dg
- .dat
- .fkc
- .dbt
- .eso
- .esl
- .mac
- .sgn
- .pbd
- .sst
- .shd
- .bco
- .vib
- .vbm
- .prb
- .als
- .sqx
- .nag
- .vpc
- .pkr
- .skr
- .mdx
- .prk
- .rvs
- .iv2i
- .sv2i
- .v2i
- .gfo
- .gfr
- .gfd
- .tst
- .sdf
- .qst
- .nef
- .gpd
- .dsus
- .psl
- .pfm
- .xsc
- .xstk
- .oxps
- .qrp
- .xlsm
- .ai
- .grd
- .bcp
- .mod
- .mdmp
- .esbak
- .mbox
- .shs
- .viprof
- .sbk
- .dis
- .dcf
- .xch
- .utf
- .sbp
- .sqlite
- .ost
- .vmp
- .arch
- .ans
- .twd
- .cbm
- .rez
- .mdt
- .mdw
- .blk
- .vmsn
- .vmsd
- .vmpl
- .kdc
- .sob
- .sobx
- .sac
- .sacx
- .smf
- .smfx
- .ssd
- .sln
- .tdb
- .dbs
- .diff
- .plb
- .vswp
- .q1c
- .out
- .scx
- .tnx
- .klt
- .~klt~2
- .nsf
- .adi
- .md5
- .gd
- .ctlg
- .sdl
- .lky
- .burn
- .sem
- .hive
- .ntx
- .bz
- .fld
- .imm
- .vrfs
- .ldif
- .req
- .pwd
- .meb
- .laccdb
- .kmn
- .pka
- .img
- .fbf
- .nc
- .bck
- .ssf
- .jrs
- .drs
- .dtz
- .fob
- .pfi
- .wrk
- .vsd
- .sbin
- .last
- .atc
- .atg
- .py
- .~ini
- .shdb
- .shdl
- .sdb
- .new
- .rk6
- .mak
- .v8i
- .1txt
- .mtl
- .pro
- .file
- .amr
- .ppsx
- .irsi
- .irsf
- .irss
- .fi
- .snp
- .pck
- .ips
- .xz
- .tps
- .avhdx
- .vmcx
- .vmrs
- .awr
- .unf
- .ok
- .okk
- .lic
- .lis
- .dz
- .vvv
- .apx
- .cmt
- .obf
- .afd
- .pnl
- .nif
- .cnc
- .lay6
- .tid
- .a3d
- .custom
- .cui
- .cuix
- .vlx
- .lsp
- .dcl
- .mnc
- .mns
- .mnr
- .lrv
- .thm
- .ssp
- .spr
- .ovf
- .repx
- .keg
- .ifm
- .efm
- .btr
- .sna
- .blb
- .amp
- .rgt
- .bg
- .dafile
- .arh
- .cr2
- .$$$
- .[0-9]+
- .n[0-9]
- .nd[0-9]
- .6t[0-9]
- .st[0-9]
- .fdb[0-9]
- .db[0-9]
- .dt[0-9]
- .nx[0-9]
- .gopaymeb
- .stop
- .lock
- .granit
- .ua_
- .enc
- .crypt
- .cripted
- .criptfiles
- .wallet
- .vault
- .en
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .messenger-{random letters and numbers}
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「RANSOM_RUSSENGER.THBBOAH」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_RUSSENGER.THBBOAH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください