Trend Micro Security

RANSOM_RUSSENGER.THBBOAH

2018年3月2日
 解析者: Noel Anthony Llimos   

 別名:

Trojan-Ransom.Win32.Cryptor.brd (KASPERSKY), Ransom.GandCrab (Norton), Troj/Rusenger-A (Sophos_LITE)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 1,182,720 bytes
タイプ EXE
メモリ常駐 なし
発見日 2018年2月19日
ペイロード メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • 2111143252160967372

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

  • .zip
  • .rar
  • .7z
  • .tar
  • .gzip
  • .gz
  • .tgz
  • .arj
  • .jpg
  • .jpeg
  • .psd
  • .cdr
  • .dwg
  • .max
  • .bmp
  • .gif
  • .png
  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .rtf
  • .pdf
  • .djvu
  • .htm
  • .html
  • .efd
  • .txt
  • .mdb
  • .cer
  • .p12
  • .pfx
  • .kwm
  • .pwm
  • .md
  • .mdf
  • .iso
  • .tib
  • .nrg
  • .gho
  • .ghost
  • .ghs
  • .bak
  • .bkp
  • .bkf
  • .1cd
  • .2cd
  • .1cd2
  • .dbf
  • .dd
  • .ert
  • .cf
  • .cfu
  • .erf
  • .epf
  • .dt
  • .cdx
  • .pfl
  • .lst
  • .gdb
  • .gbk
  • .fdb
  • .fbk
  • .ldf
  • .sql
  • .odt
  • .rn
  • .ifo
  • .lnk
  • .cbu
  • .mov
  • .m2v
  • .dbx
  • .bln
  • .dic
  • .tpl
  • .a2u
  • .mcx
  • .key
  • .mkd
  • .bkc
  • .wav
  • .tbh
  • .tbc
  • .tbb
  • .tbn
  • .rst
  • .sel
  • .pas
  • .ib
  • .zrb
  • .eif
  • .pgd
  • .trn
  • .nbi
  • .res
  • .hbk
  • .eps
  • .indd
  • .ods
  • .ppd
  • .pln
  • .plan
  • .bpn
  • .blf
  • .ldw
  • .box
  • .frw
  • .pst
  • .mxl
  • .xml
  • .idf
  • .war
  • .tab
  • .nbr
  • .hdf
  • .rcf
  • .lgp
  • .lgf
  • .elf
  • .pgp
  • .frf
  • .vhd
  • .frp
  • .gsh
  • .eet
  • .gdoc
  • .hbi
  • .svc
  • .dmp
  • .accdb
  • .csv
  • .arc
  • .mb
  • .px
  • .xg0
  • .yg0
  • .db.
  • .abd
  • .flx
  • .srx
  • .tbi
  • .his
  • .dfp
  • .packed
  • .backup
  • .map
  • .vmem
  • .vmdk
  • .zsp
  • .bpl
  • .1cl
  • .bac
  • .tbk
  • .lzh
  • .udb
  • .7zip
  • .mxlz
  • .bls
  • .rbf
  • .bdf
  • .bde
  • .vbe
  • .vbk
  • .dbk
  • .bks
  • .frm
  • .myd
  • .myi
  • .php
  • .vrd
  • .nbk
  • .bip
  • .qib
  • .cbf
  • .info
  • .export
  • .wbverify
  • .wbcat
  • .cdb
  • .ima
  • .imh
  • .vbx
  • .jbc
  • .sqm
  • .cfl
  • .tmp
  • .mig
  • .apc
  • .vhdx
  • .ldb
  • .lgd
  • .edb
  • .vsv
  • .avhd
  • .wim
  • .cuc
  • .mft
  • .tbl
  • .adb
  • .car
  • .ver
  • .nvram
  • .vmx
  • .vmxf
  • .vmss
  • .tmf
  • .dump
  • .eml
  • .msf
  • .ndf
  • .dcm
  • .stm
  • .vdi
  • .bz2
  • .xlsb
  • .old
  • .pf
  • .pml
  • .idx
  • .lbl
  • .lvd
  • .prv
  • .tmp0
  • .pak
  • .local
  • .rec
  • .ifs
  • .xsd
  • .dpr
  • .dproj
  • .dcu
  • .fpf
  • .ps1
  • .saved
  • .save
  • .cpr
  • .bf
  • .bf3
  • .rep
  • .apk
  • .sct
  • .fxp
  • .vct
  • .fpt
  • .prg
  • .vcx
  • .xxx
  • .ora
  • .sfpe
  • .svp
  • .ogd
  • .rdf
  • .frx
  • .dot
  • .rpt
  • .pm
  • .pl
  • .ctl
  • .gbp
  • .sfpz
  • .scn
  • .ord
  • .fil
  • .ect
  • .ava
  • .1ey
  • .mde
  • .wnw
  • .vvr
  • .dfb
  • .dff
  • .rsu
  • .gsn
  • .pdt
  • .vdb
  • .ddt
  • .6tr
  • .pkg
  • .trc
  • .lg
  • .ddf
  • .str
  • .9tr
  • .8tr
  • .8t0
  • .upd
  • .ndt
  • .pbf
  • .one
  • .onetoc2
  • .rpb
  • .dg
  • .dat
  • .fkc
  • .dbt
  • .eso
  • .esl
  • .mac
  • .sgn
  • .pbd
  • .sst
  • .shd
  • .bco
  • .vib
  • .vbm
  • .prb
  • .als
  • .sqx
  • .nag
  • .vpc
  • .pkr
  • .skr
  • .mdx
  • .prk
  • .rvs
  • .iv2i
  • .sv2i
  • .v2i
  • .gfo
  • .gfr
  • .gfd
  • .tst
  • .sdf
  • .qst
  • .nef
  • .gpd
  • .dsus
  • .psl
  • .pfm
  • .xsc
  • .xstk
  • .oxps
  • .qrp
  • .xlsm
  • .ai
  • .grd
  • .bcp
  • .mod
  • .mdmp
  • .esbak
  • .mbox
  • .shs
  • .viprof
  • .sbk
  • .dis
  • .dcf
  • .xch
  • .utf
  • .sbp
  • .sqlite
  • .ost
  • .vmp
  • .arch
  • .ans
  • .twd
  • .cbm
  • .rez
  • .mdt
  • .mdw
  • .blk
  • .vmsn
  • .vmsd
  • .vmpl
  • .kdc
  • .sob
  • .sobx
  • .sac
  • .sacx
  • .smf
  • .smfx
  • .ssd
  • .sln
  • .tdb
  • .dbs
  • .diff
  • .plb
  • .vswp
  • .q1c
  • .out
  • .scx
  • .tnx
  • .klt
  • .~klt~2
  • .nsf
  • .adi
  • .md5
  • .gd
  • .ctlg
  • .sdl
  • .lky
  • .burn
  • .sem
  • .hive
  • .ntx
  • .bz
  • .fld
  • .imm
  • .vrfs
  • .ldif
  • .req
  • .pwd
  • .meb
  • .laccdb
  • .kmn
  • .pka
  • .img
  • .fbf
  • .nc
  • .bck
  • .ssf
  • .jrs
  • .drs
  • .dtz
  • .fob
  • .pfi
  • .wrk
  • .vsd
  • .sbin
  • .last
  • .atc
  • .atg
  • .py
  • .~ini
  • .shdb
  • .shdl
  • .sdb
  • .new
  • .rk6
  • .mak
  • .v8i
  • .1txt
  • .mtl
  • .pro
  • .file
  • .amr
  • .ppsx
  • .irsi
  • .irsf
  • .irss
  • .fi
  • .snp
  • .pck
  • .ips
  • .xz
  • .tps
  • .avhdx
  • .vmcx
  • .vmrs
  • .awr
  • .unf
  • .ok
  • .okk
  • .lic
  • .lis
  • .dz
  • .vvv
  • .apx
  • .cmt
  • .obf
  • .afd
  • .pnl
  • .nif
  • .cnc
  • .lay6
  • .tid
  • .a3d
  • .custom
  • .cui
  • .cuix
  • .vlx
  • .lsp
  • .dcl
  • .mnc
  • .mns
  • .mnr
  • .lrv
  • .thm
  • .ssp
  • .spr
  • .ovf
  • .repx
  • .keg
  • .ifm
  • .efm
  • .btr
  • .sna
  • .blb
  • .amp
  • .rgt
  • .bg
  • .dafile
  • .arh
  • .cr2
  • .$$$
  • .[0-9]+
  • .n[0-9]
  • .nd[0-9]
  • .6t[0-9]
  • .st[0-9]
  • .fdb[0-9]
  • .db[0-9]
  • .dt[0-9]
  • .nx[0-9]
  • .gopaymeb
  • .stop
  • .lock
  • .granit
  • .ua_
  • .enc
  • .crypt
  • .cripted
  • .criptfiles
  • .wallet
  • .vault
  • .en

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

  • .messenger-{random letters and numbers}


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.978.01
初回 VSAPI パターンリリース日 2018年2月19日
VSAPI OPR パターンバージョン 13.979.00
VSAPI OPR パターンリリース日 2018年2月20日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「RANSOM_RUSSENGER.THBBOAH」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_RUSSENGER.THBBOAH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください