Ransom.Win32.MATRIX.J
Ransom:Win32/Gansom.AB!MSR (MICROSOFT); Trojan-Ransom.Matrix (IKARUS)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
以下のファイル拡張子を持つファイルは暗号化しません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {Malware Path}\ALL_dmpfl.fldp
- {Malware Path}\log.txt
- %Application Data%\{Random Characters}.bmp → used as wallpaper
- %Application Data%\{Random Characters}.bat → contains commands to remove volume shadow copies and disable system recovery
- %Application Data%\{Random Characters}.vbs → contains commands to create scheduled task
- {Malware Path}\{Random Characters}.exe → used for file handle manipulation
- {Malware Path}\{Random Characters}.bat → contains commands to take ownership of a file
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- {Malware Path}\{Random Characters}.exe
マルウェアは、以下のプロセスを追加します。
- "%System%\cmd.exe" /C copy /V /Y "{Malware Path}\{Malware Filename}.exe" "{Malware Path}\{Random Characters}.exe"
- "{Malware Path}\{Random Characters}.exe" -n → if executed without argument
- "%System%\cmd.exe" /C reg add "HKCU\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "%Application Data%\{Random Characters}.bmp" /f & reg add "HKCU\Control Panel\Desktop" /v WallpaperStyle /t REG_SZ /d "0" /f & reg add "HKCU\Control Panel\Desktop" /v TileWallpaper /t REG_SZ /d "0" /f
- "%System%\cmd.exe" /C wscript //B //Nologo "%Application Data%\{Random Characters}.vbs"
- cmd /c ""{Malware Path}\{Random Characters}.bat" "%Program Files%\Adobe\Reader 9.0\Reader\IDTemplates\ENU\AdobeID.pdf""
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- JackJackOhhJackMute → if executed without argument
- JackJackOhhJackMuteDONW → if executed with argument
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %Application Data%\{Random Characters}.bat
- %Application Data%\{Random Characters}.vbs
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %Application Data%\{Random Characters}.bmp
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 0
HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0
マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。
情報漏えい
マルウェアは、以下の情報を収集します。
- Computer name
- User name
- System Integrity Level
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}p.{BLOCKED}z.org/addrec.php?apikey=jdpr_apikey&compuser={Computer Name}|{User Name}&sid={Random Characters}&phase=START
マルウェアは、以下を実行します。
- It encrypts files located in the following locations:
- Shared Drives
- Removable Drives
- Fixed Drives
- RamDisk
- It deletes shadow copies by executing the following commands:
- vssadmin Delete Shadows /All /Quiet
- wmic SHADOWCOPY DELETE
- It disables system recovery by executing the following commands:
- bcdedit /set {default} recoveryenabled No
- bcdedit /set {default} bootstatuspolicy ignoreallfailures
- It deletes the scheduled task with the following task name:
- DSHCA
マルウェアは、以下のパラメータを受け取ります。
- -n → if not run with parameters
以下のスケジュールされたタスクを追加します:
- Task name: DHSCA
Schedule: Every 5 minutes
Task to be run: %Application Data%\{Random Characters}.bat
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ランサムウェアの不正活動
マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。
- BOOTMGR
- BOOTSECK.BAT
- DEFAULT.RDP
- HIBERFIL.SYS
- ICONCACHE.DB
- NTUSER.DAT
- NTUSER.DAT.LOG
- NTUSER.DAT.LOG1
- NTUSER.DAT.LOG2
- NTUSER.POL
- PAGEFILE.SYS
- SWAPFILE.SYS
- THUMBS.DB
- WORDPAD.EXE
マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。
- (X86)\ACRONIS\
- (X86)\BACKUP MANAGER\
- (X86)\BACKUPCLIENT\
- (X86)\CARBONITE\
- (X86)\DROPBOX\
- (X86)\GOOGLE\DRIVE\
- (X86)\MICROSOFT ONEDRIVE\
- (X86)\ONEDRIVE\
- \$RECYCLE.BIN\
- \7-ZIP\
- \ASPNET_CLIENT\
- \AVAST
- \AVDEFENDER
- \AVG
- \BITDEFENDER
- \BOOT\
- \COMMON FILES\
- \DEFAULT USER\
- \DVD MAKER\
- \ESET
- \INTERNET EXPLORER\
- \KASPERSKY LAB
- \KASPERSKYLAB
- \MALWAREBYTES
- \MCAFEE
- \MICROSOFT OFFICE\
- \MICROSOFT SILVERLIGHT\
- \MICROSOFT\CRYPTO\
- \MICROSOFT\OFFICE\
- \MICROSOFT\PROVISIONING\
- \MSOCACHE\
- \PANDA SECURITY
- \PERFLOGS\
- \PROGRAMDATA\MICROSOFT\
- \REFERENCE ASSEMBLIES\
- \SOPHOS
- \SYMANTEC ENDPOINT
- \TEMP\
- \TOR BROWSER\
- \TRENDMICRO
- \WINDOWS DEFENDER\
- \WINDOWS MEDIA PLAYER\
- \WINDOWS NT\
- \WINDOWS SIDEBAR\
- \WINDOWS.OLD\
- \WINDOWS10UPGRADE\
- \WINDOWS\
- \WINDOWSAPPS\
- \WINDOWSPOWERSHELL\
- \WINRAR\
- FILES\ACRONIS\
- FILES\BACKUP MANAGER\
- FILES\BACKUPCLIENT\
- FILES\CARBONITE\
- FILES\DROPBOX\
- FILES\GOOGLE\DRIVE\
- FILES\MICROSOFT ONEDRIVE\
- FILES\ONEDRIVE\
- VNC\
マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。
- [{BLOCKED}uran@aol.com].{8 Random Characters}-{8 Random Characters}.JDPR
マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。
- {Encrypted Directory}\JDPR_README.rtf
以下のファイル拡張子を持つファイルについては暗号化しません:
- .BLF
- .BMP
- .DLL
- .ICO
- .JDPR
- .LOG
- .LOG1
- .LOG2
- .RBS
- .RDP
- .REGTRANS-MS
- .RTF
- .SEARCH-MS
- .SEK
- .SETTINGCONTENT-MS
- .TMP
- .VBS
- .XML
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF042
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
以下のファイルを検索し削除します。
- {Malware Path}\ALL_dmpfl.fldp
- {Malware Path}\log.txt
- %Application Data%\{Random Characters}.bmp
- %Application Data%\{Random Characters}.bat
- %Application Data%\{Random Characters}.vbs
- {Malware Path}\{Random Characters}.exe
- {Malware Path}\{Random Characters}.bat
- {Malware Path}\{Random Characters}.exe
- {Encrypted Directory}\JDPR_README.rtf
手順 6
デスクトッププロパティを修正します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom.Win32.MATRIX.J」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください