RANSOM_WALTRIX.I
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、仮想環境内で実行されると、自身の活動を終了します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %All Users Profiles%\{unique ID}.key
- %All Users Profiles%\Z - deleted afterwards. contains installation date of this malware
- %User Startup%\{unique ID}.lnk - LNK_WALTRIX.I
- {random}\!Recovery_{unique ID}.bmp - TROJ_WALTRIX.I
- {folders containing encrypted files}\!Recovery_{unique ID}.html -HTML_RANSOMNOTE.IA
- {folders containing encrypted files}\{unique ID}.html - HTML_RANSOMNOTE.IA
- {folders containing encrypted files}\!Recovery_{unique ID}.txt - ransom note
where {unique ID} contains 12 hexadecimal characters
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
マルウェアは、以下のプロセスを追加します。
- copy of the legitimate rundll32.exe named as:
• %User Temp%\svchost.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "{random}\{unique ID}.bmp"
情報漏えい
マルウェアは、以下の情報を収集します。
- FTP Applications:
- FlashFXP 3
- FlashFXP 4
- FileZilla
- FTPRush
- VanDyke
- FTP Explorer
- SmartFTP
- TurboFTP
- FTPRush
- Ipswitch WS_FTP
- Far FTP
- Far2 FTP
- CuteFTP 7 Professional
- CuteFTP 8 Professional
- CuteFTP 8 Home
- CuteFTP 6 Professional
- CuteFTP 6 Home
- CuteFTP 7 Home
- Windows Commander
- Total Commander
- Bullet Proof FTP
- Bullet Proof FTP
- Sota FFFTP
- FTPWare COREFTP
- FTPClient
- SoftX.org FTPClient
- Instant Messenger Applications:
- Digsby
- MySpace
- Pidgin
- Trillian
- Google Talk
- Paltalk
- Mail Applications:
- Windows Live Mail
- Scribe
- Outlook
- Outlook Express
- Internet Account Manager
- Cookies:
- Chrome User Data
- Bitcoin wallet files containing the following in their file name:
- WALLET
- _WALLET
- .WALLET
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}.{BLOCKED}.83.197
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .XLSX
- .IDRC
- .DTS
- .COM
- .ODEX
- .GSC
- .SINF
- .EPS
- .VVV
- .INF
- .COM
- .WMV
- .PHP
- .AVF
- .SOB
- .SANIM
- .CCX
- .CCC
- .RESOURCES
- .RESX
- .VB
- .XXX
- .ECC
- .RAW
- .TIF
- .PDB
- .RSP
- .DPR
- .PY
- .H
- .JAVA
- .CPP
- .WPG
- .MDI
- .CREATIVETEMPL
- .IPA
- .LNK
- .CCZ
- .CNR
- .CLASS
- .SYM
- .MHT
- .CDR
- .CRYPT
- .AAA
- .AS2
- .EMF
- .DOCX
- .MD5
- .MP4
- .BPL
- .TEMPLATE
- .DOC
- .XLS
- .DIALOG
- .BNK
- .BMP
- .MSG
- .PPT
- .SWL
- .ILP
- .WDSEML
- .PPTX
- .CSS
- .PSD
- .AI
- .APK
- .AIF
- .REG
- .XPNG
- .GFX
- .HTML
- .PNG
- .SOL
- .VMT
- .VTF
- .VTX
- .JPG
- .MDL
- .VVD
- .PHY
- .VVD
- .SVG
- .SO
- .XPT
- .PYC
- .MICRO
- .XML
- .RUL
- .GZ
- .LOG
- .MANIFEST
- .DLL
- .ICO
- .HTM
- .LOCALSTORAGE
- .LOCALSTORAGE-JOURNAL
- .TGA
- .XNB
- .GIF
- .SWA
- .PM
- .INI
- .TXT
- .JS
- .SWF
- .WMF
- .MP3
- .PACKAGE
- .PMT
- .PTE
- .PME
- .WAV
- .DDS
- .OGG
- .SCF
- .LUA
- .IMG
- .PSPSCRIPT
- .EXE
- .URL
- .OBJ
- .MESH
- .PHYS
- .MTRL
- .OCX
- .CAB
- .SSO
- .P12
- .JSP
- .JSPX
- .TXT
- .VVV
- .JSON
- .SQF
- .PRO
- .SMO
- .TXT
- .CCC
- .SKP
- .DWG
- .DAV
- .ICO
- .DAT
- .CER
- .PVK
- .IMTL
- .TMB
- .META
- .SMALI
- .JPEG
- .CC
- .JD
- .PROPERTIES
- .FRM
- .PYD
- .CZS
- .JAR
- .CHK
- .ENCRYPTED
- .TOC
- .PNG
- .1999
- .AUTOEXEC
- .BATTHUMBS
- .DB
- .3DM
- .3DS
- .7Z
- .ACCDB
- .AES
- .AI
- .APK
- .APP
- .ARC
- .ASC
- .ASM
- .ASP
- .ASPX
- .BRD
- .BZ2
- .C
- .CER
- .CFG
- .CFM
- .CGI
- .CGM
- .CLASS
- .CMD
- .CPP
- .CRT
- .CS
- .CSR
- .CSS
- .CSV
- .CUE
- .DB
- .DBF
- .DCH
- .DCU
- .DIF
- .DIP
- .DJV
- .DJVU
- .DOC
- .DOCB
- .DOCM
- .DOCX
- .DOT
- .DOTM
- .DOTX
- .DTD
- .DWG
- .DXF
- .EML
- .EPS
- .FDB
- .FLA
- .FRM
- .GADGET
- .GBK
- .GBR
- .GED
- .GPG
- .GPX
- .GZ
- .H
- .HTM
- .HTML
- .HWP
- .IBD
- .IBOOKS
- .INDD
- .JAR
- .JAVA
- .JKS
- .JS
- .JSP
- .KEY
- .KML
- .KMZ
- .LAY
- .LAY6
- .LDF
- .LUA
- .M
- .MAX
- .MDB
- .MDF
- .MFD
- .MML
- .H
- .MS11
- .MSI
- .MYD
- .MYI
- .NEF
- .NOTE
- .OBJ
- .ODB
- .ODG
- .ODP
- .ODS
- .ODT
- .OTG
- .OTP
- .OTS
- .OTT
- .P12
- .PAGES
- .PAQ
- .PAS
- .PCT
- .PDB
- .PEM
- .PHP
- .PIF
- .PL
- .PLUGIN
- .POT
- .POTM
- .POTX
- .PPAM
- .PPS
- .PPSM
- .PPSX
- .PPT
- .PPTM
- .PPTX
- .PRF
- .PRIV
- .PRIVATE
- .PS
- .PSD
- .PY
- .QCOW2
- .RAR
- .RAW
- .RSS
- .RTF
- .SCH
- .SDF
- .SH
- .SITX
- .SLDX
- .SLK
- .SLN
- .SQL
- .SQLITE3
- .SQLITEDB
- .STC
- .STD
- .STI
- .STW
- .SVG
- .SWF
- .SXC
- .SXD
- .SXI
- .SXM
- .SXW
- .TAR
- .TBK
- .TEX
- .TGZ
- .TLB
- .TXT
- .UOP
- .UOT
- .VB
- .VBS
- .VCF
- .VCXPROJ
- .VDI
- .VMDK
- .VMX
- .WKS
- .WPD
- .WPS
- .WSF
- .XCODEPROJ
- .XHTML
- .XLC
- .XLM
- .XLR
- .XLS
- .XLSB
- .XLSM
- .XLSX
- .XLT
- .XLTM
- .XLTX
- .XLW
- .XML
- .ZIP
- .ZIPX
- .3G2
- .3GP
- .AIF
- .ASF
- .ASX
- .AVI
- .BMP
- .DDS
- .FLV
- .GIF
- .IFF
- .JPG
- .M3U
- .M4A
- .M4V
- .MID
- .MKV
- .MOV
- .MP3
- .MP4
- .MPA
- .MPG
- .PNG
- .PSPIMAGE
- .RA
- .RM
- .SRT
- .TGA
- .THM
- .TIF
- .TIFF
- .TMP
- .VOB
- .WAV
- .WMA
- .WMV
- .YUV
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original file name}.crypt
マルウェアは、仮想環境内で実行されると、自身の活動を終了します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Control Panel\Desktop
- Wallpaper = "{random}\{unique ID}.bmp"
- Wallpaper = "{random}\{unique ID}.bmp"
手順 4
この「RANSOM_WALTRIX.I」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
- LNK_WALTRIX.I
- TROJ_WALTRIX.I
- HTML_RANSOMNOTE.IA
手順 5
以下のファイルを検索し削除します。
- %All Users Profiles%\{unique ID}.key
- {folders containing encrypted files}\!Recovery_{unique ID}.txt
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_WALTRIX.I」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください