TROJ_RANSOM.AGY
Trojan:Win32/Ransom.KW (Microsoft), Trojan.Ransomcrypt.B (Symantec), RDN/Ransom!h (McAfee), W32/Ransom.JA!tr (Fortinet), Trojan.Win32.Ransom (Ikarus), a variant of Win32/Filecoder.NAC trojan (ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\ProgramData\{random folder name 2}\{random file name 2}.dlls - contains key
- %System Root%\ProgramData\{random folder name 1}\{random file name 1}.dll - contains key
- %System Root%\ProgramData\svcfnmainstvestvs\stppthmainfv.dll - contains list of random strings
- %System Root%\how to decrypt files.lnk
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、以下のフォルダを作成します。
- %System Root%\ProgramData\{random folder name 2}
- %System Root%\{random folder name 3}
- %System Root%\ProgramData\{random folder name 1}
- %System Root%\ProgramData\svcfnmainstvestvs
- %System Root%\ProgramData\svtstcrs
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\svchhostlvsple
ImagePath = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\svchhostlvsple
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\svchhostlvsple
DisplayName = "Users Profile System Services"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\svchhostlvsple
Description = "This service is responsible for loading and unloading user profiles. If this service is stopped or disabled, users will no longer be able to successfully logon or logoff applications may have problems getting to users' data, and components registered to receive profile event notifications will not receive them."
情報漏えい
マルウェアは、以下のパラメータを受け取ります。
- "-i" - Install the malware as a service
- "install" - Install the malware as a service
- "-d" - Delete the service
- "-u" - Delete the service
- "delete" - Delete the malware service
- "-s" - Start the malware service
- "start" - Start the malware service
- "-k" - Stop the malware service
- "kill" - Stop the malware service
- "stop" - Stop the malware service
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TROJ_RANSOM.AGY」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- svchhostlvsple
- svchhostlvsple
手順 4
以下のフォルダを検索し削除します。
- %System Root%\ProgramData\svcfnmainstvestvs
- %System Root%\ProgramData\svtstcrs
- %System Root%\ProgramData\{random folder name 1}
- %System Root%\ProgramData\{random folder name 2}
- %System Root%\{random folder name 3}
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_RANSOM.AGY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 6
以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。
※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ご利用はいかがでしたか? アンケートにご協力ください