RANSOM_NETIX.A
Windows
マルウェアタイプ:
トロイの木马型
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
■ ランサムウェアファイル復号ツール公開
ランサムウェアの胁威が世界的に深刻になっている状况を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公开しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事项については以下のダウンロードページを参照してください。
法人向けダウンロード鲍搁尝:
トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。
2017年1月下旬に确认されたこのマルウェアは、动画配信サービス「狈别迟蹿濒颈虫」のログインを生成するアプリケーションを介してユーザに感染します。このアプリケーションを使用すると、コンピュータ上にランサムウェアがインストール、実行されます。このマルウェアに感染すると、データが使用できなくなります。
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定の奥别产サイトにアクセスし、情报を送受信します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Desktop%\Instructions.txt - Ransom Note
- %User Temp%\info.txt
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のファイルを作成し実行します。
- %User Temp%\Netflix Login Generator v1.1.exe - fake generator
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\Microsoft\ScreenToGif\netprotocol.exe - executed afterwards
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
他のシステム変更
マルウェアは、インストールの过程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Profile%\ransom.jpg
ダウンロード活动
マルウェアは、以下の奥别产サイトにアクセスし、ファイルをダウンロードします。
- http://{BLOCKED}.{BLOCKED}.173.155/images/BG.jpg
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Profile%\ransom.jpg - image used as wallpaper
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
その他
マルウェアは、以下の奥别产サイトにアクセスし、情报を送受信します。
- http://{BLOCKED}.{BLOCKED}.173.155/createkeys.php
- http://{BLOCKED}.{BLOCKED}.173.155/savekey.php
- http://{BLOCKED}.{BLOCKED}.173.155/getid.php
マルウェアは、以下の拡张子をもつファイルを暗号化します。
- .ai
- .asp
- .aspx
- .avi
- .bmp
- .csv
- .doc
- .docx
- .epub
- .flp
- .flv
- .gif
- .html
- .itdb
- .itl
- .jpg
- .m4a
- .mdb
- .mkv
- .mp3
- .mp4
- .mpeg
- .odt
- .php
- .png
- .ppt
- .pptx
- .psd
- .py
- .rar
- .sql
- .txt
- .wma
- .wmv
- .xls
- .xlsx
- .xml
- .zip
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original filename and extension}.se
マルウェアは、"Windows 7" または"Windows 10"で実行されていない場合、自身を終了します。
マルウェアは、ディレクトリ”颁:袄鲍蝉别谤蝉”下のファイルを暗号化します。
マルウェアは、コンピュータのデスクトップの壁纸に以下の画像を设定します。
胁迫状には、以下が含まれています。
このランサムウェアは、以下の狈别迟蹿濒颈虫の偽ログインアカウント生成の画面を表示します。
”Generate Login(ログインアカウントを生成する)”のボタンをクリックすると、マルウェアは以下のメッセージボックスを表示します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。
手順 3
奥颈苍诲辞飞蝉をセーフモードで再起动します。
手順 4
以下のファイルを検索し削除します。
- %User Profile%\ransom.jpg
- %Desktop%\Instructions.txt
- %User Temp%\info.txt
- %User Temp%\Netflix Login Generator v1.1.exe
手順 5
デスクトッププロパティを修正します。
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_NETIX.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。