Ransom.Linux.EBANUL.THGOCBD
Linux
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活动の有无:
なし
暗号化:
なし
感染報告の有無 :
はい
? 概要
トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
以下のファイル拡张子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
その他
マルウェアは、以下を実行します。
- It won't proceed to encryption unless the parameter -p | --path is specified.
マルウェアは、以下のパラメータを受け取ります。
- -h | --help → show help message
- -p | --path {Path} → encrypt files in the specified path
- -m | --mode local → encrypt mode - only local (default)
- -l | --log {Filename} → log file path
- -v | --verbose → enable verbose mode
- --exclude-vms {Filename} → filename path with VMS names for excluding encrypting
- --esxi-vm-killer-off → disable ESXi VMS killer
- --no-mutex → start program without checking global sync object
ランサムウェアの不正活动
マルウェアは、暗号化されたファイルのファイル名に以下の拡张子を追加します。
- .NBA
以下のファイル拡张子を持つファイルについては暗号化しません:
- .NBA
- .NBA{Any String}
<補足>
その他
マルウェアは、パラメータ「-p | --path」が指定されない限り、暗号化を実行しません。
マルウェアは、以下のパラメータを受け取ります。
- -h | --help →?ヘルプメッセージを表示する
- -p | --path {パス} →?指定されたパス内のファイルを暗号化する
- -m | --mode local →?暗号化モード - ローカルのみ(デフォルト)
- -l | --log {ファイル名} → ログファイルのパス
- -v | --verbose →?詳細モードを有効化する
- --exclude-vms {ファイル名} →?暗号化の対象外となる、仮想マシンの名前が使用されたファイル名を含むパス
- --esxi-vm-killer-off →?ESXi上の仮想マシンを強制終了するプログラム(killer)を無効化する
- --no-mutex →?名前空間がグローバルに指定された同期オブジェクトを確認しないでプログラムを起動する
対応方法
手順 1
トレンドマイクロの机械学习型検索は、マルウェアの存在を示す兆候が确认された时点で検出し、マルウェアが実行される前にブロックします。机械学习型検索が有効になっている场合、弊社のウイルス対策製品はこのマルウェアを以下の机械学习型検出名として検出します。
-
?
- Troj.ELF.TRX.XXELFC1DFF045
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Linux.EBANUL.THGOCBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 3
暗号化されたファイルをバックアップから復元します。