Trend Micro Security

TROJ_RANSOM.YMJZ

2014年12月6日

 別名:

Ransom:Win32/Crowti.A (Microsoft); Generic.so (McAfee); Trojan.Cryptodefense (Symantec); Trojan.Win32.Yakes.hapq (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Win32/Cryptor (AVG)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。


  詳細

ファイルサイズ 279,040 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年12月6日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
4e1a0f = "%System Root%\4e1a0fa\4e1a0fa.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
4e1a0fa = "%User Profile%\Application Data\4e1a0fa.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
EventMessageFile = "%System%\ESENT.dll"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
CategoryMessageFile = "%System%\ESENT.dll"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
CategoryCount = "1"

(註:変更前の上記レジストリ値は、「10」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Eventlog\Application\
ESENT
TypesSupported = "7"

(註:変更前の上記レジストリ値は、「7」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %System Root%\4e1a0fa\4e1a0fa.exe
  • %User Profile%\Application Data\4e1a0fa.exe
  • %User Startup%\4e1a0fa.exe
  • %User Startup%\4e1a0fa.exe:1
  • %User Profile%\Application Data\4e1a0fa.exe:1
  • %System Root%\4e1a0fa\4e1a0fa.exe:1

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}maybee.org/wp-content/themes/lightweight/oc3da
  • http://{BLOCKED}yip.com/text
  • {BLOCKED}.48.88
  • {BLOCKED}0.1
  • {BLOCKED}.244.244
  • {BLOCKED}.223.34
  • {BLOCKED}7.72.212
  • {BLOCKED}.123.41
  • {BLOCKED}.107.180
  • {BLOCKED}.98.194
  • {BLOCKED}.70.107
  • {BLOCKED}.154.33
  • {BLOCKED}32.144
  • {BLOCKED}.148.87
  • {BLOCKED}.8.68
  • {BLOCKED}2.200.101
  • {BLOCKED}4.159.172
  • {BLOCKED}7.184.32
  • {BLOCKED}.25.92
  • {BLOCKED}.193.20
  • {BLOCKED}.125.37
  • {BLOCKED}.9.70
  • {BLOCKED}91.245
  • {BLOCKED}.44.204
  • {BLOCKED}.177.59
  • {BLOCKED}.85.146
  • {BLOCKED}.137.230
  • {BLOCKED}237.104
  • {BLOCKED}.162.226
  • {BLOCKED}.123.153
  • {BLOCKED}.224.15
  • {BLOCKED}23.93
  • {BLOCKED}.116.16
  • {BLOCKED}.84.4
  • {BLOCKED}.217.242
  • {BLOCKED}130.68
  • {BLOCKED}.70.54
  • {BLOCKED}.99.123
  • {BLOCKED}.109.58
  • {BLOCKED}.84.20
  • {BLOCKED}.161.177
  • {BLOCKED}0.195
  • {BLOCKED}0.230.247
  • {BLOCKED}85.217
  • {BLOCKED}4.128.58
  • {BLOCKED}.151.10
  • {BLOCKED}8.109.185
  • {BLOCKED}2.192
  • {BLOCKED}.33.8
  • {BLOCKED}.129.251
  • {BLOCKED}.223.36
  • {BLOCKED}.32.183
  • {BLOCKED}.239.223
  • {BLOCKED}.39.135
  • {BLOCKED}8.1.229
  • {BLOCKED}.151.99
  • {BLOCKED}63.214
  • {BLOCKED}.209.61
  • {BLOCKED}.60.242
  • {BLOCKED}.27.203
  • {BLOCKED}9.125.226
  • {BLOCKED}9.217.228
  • {BLOCKED}.56.45
  • {BLOCKED}.89.241
  • {BLOCKED}.100.226
  • {BLOCKED}.246.23
  • {BLOCKED}.37.16
  • {BLOCKED}129.20
  • {BLOCKED}5.50.84
  • {BLOCKED}1.141.21
  • {BLOCKED}5.30.238
  • {BLOCKED}83.205
  • {BLOCKED}.82.177
  • {BLOCKED}.75.194
  • {BLOCKED}143.84
  • {BLOCKED}.175.206
  • {BLOCKED}.46.244
  • {BLOCKED}.53.133
  • {BLOCKED}44.30
  • {BLOCKED}11.208
  • {BLOCKED}.51.82
  • {BLOCKED}3.127.233
  • {BLOCKED}23.152
  • {BLOCKED}.44.172
  • {BLOCKED}.188.218
  • {BLOCKED}9.60.18
  • {BLOCKED}.198.152
  • {BLOCKED}.198.178
  • {BLOCKED}.108.76
  • {BLOCKED}.158.5
  • {BLOCKED}.153.167
  • {BLOCKED}2.66.212
  • {BLOCKED}9.59.87
  • {BLOCKED}43.221
  • {BLOCKED}.82.44
  • {BLOCKED}8.9.208
  • {BLOCKED}14.197
  • {BLOCKED}4.5.205
  • {BLOCKED}4.97.10
  • {BLOCKED}150.61
  • {BLOCKED}3.81
  • {BLOCKED}.175.102
  • {BLOCKED}.178.180
  • {BLOCKED}.207.34
  • {BLOCKED}9.235
  • {BLOCKED}.137.166
  • {BLOCKED}.31.207
  • {BLOCKED}.181.164
  • {BLOCKED}.28.243
  • {BLOCKED}11.124
  • {BLOCKED}6.36
  • {BLOCKED}.160.20
  • {BLOCKED}.164.243
  • {BLOCKED}9.3.164
  • {BLOCKED}.82.169
  • {BLOCKED}.99.143
  • {BLOCKED}.86.26
  • {BLOCKED}.170.84
  • {BLOCKED}8.9.49
  • {BLOCKED}.9.53
  • {BLOCKED}119.83
  • {BLOCKED}50.92
  • {BLOCKED}3.84.215
  • {BLOCKED}.230.31
  • {BLOCKED}.170.143
  • {BLOCKED}.198.53
  • {BLOCKED}1.35.80
  • {BLOCKED}.114.46
  • {BLOCKED}.200.204
  • {BLOCKED}4.20.134
  • {BLOCKED}143.13
  • {BLOCKED}.243.66
  • {BLOCKED}.219.46
  • {BLOCKED}42.110
  • {BLOCKED}.222.215
  • {BLOCKED}.32.134
  • {BLOCKED}1.233.222
  • {BLOCKED}0.0.15
  • {BLOCKED}163
  • {BLOCKED}.237.229
  • {BLOCKED}.224.92
  • {BLOCKED}.195.240
  • {BLOCKED}06.18
  • {BLOCKED}.44.206
  • {BLOCKED}6.158.42
  • {BLOCKED}119.82
  • {BLOCKED}.127.140
  • {BLOCKED}.244.124
  • {BLOCKED}4.42.203
  • {BLOCKED}.176.125
  • {BLOCKED}.4.8
  • {BLOCKED}18.110
  • {BLOCKED}222.185
  • {BLOCKED}185.5
  • {BLOCKED}104.62
  • {BLOCKED}.225.167
  • {BLOCKED}196.12
  • {BLOCKED}4.116.232
  • {BLOCKED}238.140
  • {BLOCKED}29.73
  • {BLOCKED}5.109.162
  • {BLOCKED}.70.90
  • {BLOCKED}.38.132
  • {BLOCKED}79.101
  • {BLOCKED}.115.23
  • {BLOCKED}.103.213
  • {BLOCKED}27.141
  • {BLOCKED}.31.59
  • {BLOCKED}6.99.27
  • {BLOCKED}1.52
  • {BLOCKED}138.93
  • {BLOCKED}.185.240
  • {BLOCKED}.148.97
  • {BLOCKED}5.220.140
  • {BLOCKED}6.17
  • {BLOCKED}.70.52
  • {BLOCKED}8.112.226
  • {BLOCKED}100.162
  • {BLOCKED}.101.147
  • {BLOCKED}152.178
  • {BLOCKED}113.214
  • {BLOCKED}179.147
  • {BLOCKED}241.96
  • {BLOCKED}.82.25
  • {BLOCKED}.126.57
  • {BLOCKED}9.50.246
  • {BLOCKED}44.187
  • {BLOCKED}83.96
  • {BLOCKED}.23.135
  • {BLOCKED}.76.153
  • {BLOCKED}10.46
  • {BLOCKED}59.74
  • {BLOCKED}.240.81
  • {BLOCKED}8.112.60
  • {BLOCKED}.57.196
  • {BLOCKED}27.210
  • {BLOCKED}4.133.53
  • {BLOCKED}.78.135
  • {BLOCKED}1.141.135
  • {BLOCKED}.227.28
  • {BLOCKED}.30.78
  • {BLOCKED}.156.84
  • {BLOCKED}.83.208
  • {BLOCKED}.208.30
  • {BLOCKED}.212.86
  • {BLOCKED}5.253.221
  • {BLOCKED}6.231.90
  • {BLOCKED}188.169
  • {BLOCKED}.46.97
  • {BLOCKED}.161.136
  • {BLOCKED}.107.91
  • {BLOCKED}.156.78
  • {BLOCKED}9.107.194
  • {BLOCKED}.65.100
  • {BLOCKED}.195.222
  • {BLOCKED}.35.151
  • {BLOCKED}2.216.242
  • {BLOCKED}.85.20
  • {BLOCKED}.244.8
  • {BLOCKED}.53.250
  • {BLOCKED}.3.223
  • {BLOCKED}1.79.115
  • {BLOCKED}.98.5
  • {BLOCKED}.154.111
  • {BLOCKED}.254.228
  • {BLOCKED}.175.241
  • {BLOCKED}177.28
  • {BLOCKED}.163.200
  • {BLOCKED}32.196
  • {BLOCKED}.136.51
  • {BLOCKED}177.223
  • {BLOCKED}.142.246
  • {BLOCKED}.197.96
  • {BLOCKED}6.216.31
  • {BLOCKED}4.194.211
  • {BLOCKED}1.195
  • {BLOCKED}.157.154
  • {BLOCKED}4.128.151
  • {BLOCKED}1.55.141
  • {BLOCKED}8.40.188
  • {BLOCKED}5.241.216
  • {BLOCKED}9.36.207
  • {BLOCKED}.227.117
  • {BLOCKED}4.117.163
  • {BLOCKED}247.36
  • {BLOCKED}229.16
  • {BLOCKED}.113.70
  • {BLOCKED}4.40.5
  • {BLOCKED}.212.37
  • {BLOCKED}.223.214
  • {BLOCKED}.0.39
  • {BLOCKED}.219.54
  • {BLOCKED}.33.27
  • {BLOCKED}3.243.110
  • {BLOCKED}3.7.8
  • {BLOCKED}96.88
  • {BLOCKED}5.251.62
  • {BLOCKED}159.207
  • {BLOCKED}194.33
  • {BLOCKED}.113.133
  • {BLOCKED}242.173
  • {BLOCKED}.251.25
  • {BLOCKED}.30.17
  • {BLOCKED}7.149.145
  • {BLOCKED}.150.138
  • {BLOCKED}64.91
  • {BLOCKED}.47.30
  • {BLOCKED}.9.89
  • {BLOCKED}27.142
  • {BLOCKED}4.250.83
  • {BLOCKED}0.94.49
  • {BLOCKED}.191.95
  • {BLOCKED}.39.183
  • {BLOCKED}.97.192
  • {BLOCKED}.19.133
  • {BLOCKED}75.84
  • {BLOCKED}.205.188
  • {BLOCKED}.148.94
  • {BLOCKED}9.42.9
  • {BLOCKED}.182.206
  • {BLOCKED}1.233.221
  • {BLOCKED}.202.159
  • {BLOCKED}.199.19
  • {BLOCKED}4.109.157
  • {BLOCKED}.191.190
  • {BLOCKED}.172.229
  • {BLOCKED}.32.195
  • {BLOCKED}.216.101
  • {BLOCKED}0.233.194
  • {BLOCKED}204.175
  • {BLOCKED}5.60.40

マルウェアは、実行後、自身を削除します。

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • 4e1a0f = "%System Root%\4e1a0fa\4e1a0fa.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • 4e1a0fa = "%User Profile%\Application Data\4e1a0fa.exe"

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
    • DisableSR = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
    • From: EventMessageFile = "%System%\ESENT.dll"
      To: EventMessageFile = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
    • From: CategoryMessageFile = "%System%\ESENT.dll"
      To: CategoryMessageFile = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
    • From: CategoryCount = "1"
      To: CategoryCount = ""10""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ESENT
    • From: TypesSupported = "7"
      To: TypesSupported = ""7""

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System Root%\4e1a0fa\4e1a0fa.exe
  • %User Profile%\Application Data\4e1a0fa.exe
  • %User Startup%\4e1a0fa.exe
  • %User Startup%\4e1a0fa.exe:1
  • %User Profile%\Application Data\4e1a0fa.exe:1
  • %System Root%\4e1a0fa\4e1a0fa.exe:1

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_RANSOM.YMJZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください