解析者: Jeanne Jocson   

 プラットフォーム:

Linux

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP///1114224

個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

このランサムウェアは、2015年7月に登場した「サービスとしてのランサムウェア(Ransomware as a Service、RaaS)」の亜種です。「RANSOM_CRYPRAAS.B」は、Linuxのサーバおよびデスクトップ内のファイルを暗号化することで知られています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 161,992 bytes
タイプ ELF
メモリ常駐 なし
発見日 2016年7月2日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

作成活動

マルウェアは、以下のファイルを作成します。

  • {Folders containing encrypted files}\readme_liesmich_encryptor_raas_{customer ID}.txt-serves as ransom note

その他

マルウェアが作成する以下のファイルは、脅迫状です。

  • {Folders containing encrypted files}\readme_liesmich_encryptor_raas_{customer ID}.txt

マルウェアは、以下のファイルを暗号化しません。
  • wallet.dat
  • electrum.dat

マルウェアは、ファイル名に以下の文字列および拡張子を含むファイルを暗号化します。

  • 0
  • -0
  • 000
  • 001
  • 002
  • 003
  • 004
  • 005
  • 006
  • 007
  • 008
  • 009
  • 1
  • -1
  • 10
  • -10
  • 11
  • -11
  • 12
  • -12
  • 13
  • -13
  • 14
  • -14
  • 15
  • -15
  • 16
  • -16
  • 17
  • -17
  • 18
  • -18
  • 19
  • -19
  • 1pa
  • 2
  • -2
  • 2fs
  • 3
  • -3
  • 3dm
  • 3ds
  • 3g2
  • 3gp
  • 4
  • -4
  • 5
  • -5
  • 6
  • -6
  • 7
  • -7
  • 7z
  • 8
  • -8
  • 9
  • -9
  • aac
  • aaf
  • abbu
  • abw
  • accdb
  • adr
  • aep
  • aepx
  • aet
  • ahk
  • ai
  • aif
  • alt
  • ape
  • apk
  • arc
  • arv
  • arw
  • as
  • as3
  • asc
  • asf
  • ashdisc
  • asm
  • asmx
  • asp
  • aspx
  • asx
  • aup
  • avi
  • ba0
  • backup
  • bak
  • bas
  • bbb
  • bc
  • bc!
  • bcmx
  • bdb
  • bde
  • bdf
  • bdg
  • bdi
  • bdk
  • bdl
  • bdm
  • bdmv
  • bdsproj
  • bdw
  • bdx
  • bee
  • ben
  • bes
  • bex
  • bexpk
  • bf
  • bf2
  • bfa
  • bfb
  • bfe
  • bff
  • bgz
  • bhx
  • bib
  • bibtex
  • bik
  • bina
  • bkf
  • bkp
  • bks
  • bkup
  • bmp
  • boe
  • bpl
  • bpn
  • bson
  • btd
  • bz2
  • c
  • c++
  • cad
  • cadp
  • caf
  • cal
  • cbu
  • cc
  • cda
  • cdf
  • cdi
  • cdr
  • cdt
  • cdx
  • cer
  • cert
  • cfc
  • cfg
  • cfm
  • cgi
  • cgn
  • chk
  • chr
  • class
  • clk
  • cmx
  • cnt
  • cod
  • conf
  • cpio
  • cpp
  • cpt
  • cpx
  • cr2
  • crd
  • crt
  • crw
  • crypt7
  • cs
  • csh
  • csl
  • csproj
  • csr
  • csv
  • cue
  • d64
  • data
  • db3
  • dbf
  • dbt
  • dbx
  • dcp
  • dcr
  • dds
  • ddz
  • del
  • dem
  • des
  • deviceids
  • df
  • dfd
  • dfproj
  • dia
  • dif
  • diff
  • dir
  • diz
  • dlc
  • dmg
  • doc
  • docb
  • docm
  • docx
  • dot
  • dotm
  • dotx
  • dqy
  • drw
  • ds4
  • dsb
  • dsf
  • dsn
  • dta
  • dtr
  • dtv
  • dwg
  • dxf
  • ebk
  • eddx
  • edoc
  • efx
  • elfo
  • emf
  • eml
  • emlx
  • enc
  • eps
  • epub
  • es
  • es~
  • ex4
  • exp
  • ezm
  • fdb
  • fdf
  • ff1
  • ffa
  • ffl
  • ffo
  • ffs_db
  • fft
  • ffu
  • ffx
  • fh10
  • fh11
  • fi2
  • fig
  • fil
  • fim
  • fla
  • flac
  • flg
  • flp
  • flv
  • fmd
  • fmv
  • fpt
  • fpx
  • ftp
  • fx0
  • fx1
  • fxr
  • gam
  • gar
  • gbc
  • gcode
  • gem
  • gho
  • ghs
  • gid
  • gif
  • gla
  • gpg
  • gpx
  • gz
  • h
  • h++
  • hbk
  • hdd
  • hds
  • hex
  • hpp
  • hst
  • htc
  • hwp
  • hwp
  • ico
  • ics
  • idml
  • idx
  • if
  • iff
  • iif
  • imb
  • img
  • imh
  • iml
  • imm
  • in0
  • indb
  • indd
  • indl
  • indt
  • ini2
  • int
  • inx
  • ipd
  • iso
  • isz
  • iwa
  • j2k
  • jad
  • jar
  • java
  • jdb
  • jks
  • jmf
  • jp2
  • jpeg
  • jpf
  • jpg
  • jpm
  • jpx
  • json
  • jsp
  • jspa
  • jspx
  • jst
  • k1f
  • kb1
  • kcf
  • kch
  • kcl
  • kdb
  • kdbx
  • key
  • keynote
  • kml
  • kmz
  • knt
  • kpr
  • lbl
  • ld
  • ldif
  • lgb
  • lib
  • lic
  • lis
  • lpd
  • ls
  • ltx
  • lwp
  • lyc
  • lyt
  • lzma
  • m3u
  • m3u8
  • m4a
  • m4u
  • m4v
  • mab
  • mac
  • mail
  • mailhost
  • mar
  • max
  • mb
  • mbox
  • mbs
  • mcs
  • md2
  • mdb
  • mdbackup
  • mddata
  • mde
  • mdf
  • mdi
  • mdinfo
  • mds
  • mdw
  • mdx
  • met
  • mht
  • mhtml
  • mid
  • mke
  • mlm
  • mmf
  • mnu
  • mobileprovision
  • mod
  • mon
  • mov
  • mozeml
  • mp3
  • mp4
  • mpa
  • mpb
  • mpeg
  • mpg
  • mpj
  • mpp
  • mq4
  • mqh
  • mrw
  • ms
  • msf
  • msg
  • mso
  • mswmm
  • mta
  • mts
  • mus
  • mx0
  • myd
  • myf
  • myi
  • nam
  • nap
  • nba
  • nbf
  • nbi
  • nbu
  • nbz
  • nco
  • nd
  • nef
  • nes
  • net
  • new
  • nfo
  • nick
  • nng
  • note
  • nr
  • nrg
  • nri
  • nru
  • ns
  • nws
  • nzb
  • oa4
  • oac
  • odb
  • odc
  • odg
  • odp
  • ods
  • odt
  • ogg
  • old
  • one
  • onepkg
  • ops
  • opt
  • or4
  • orf
  • org
  • otm
  • ott
  • ova
  • ovf
  • ovpn
  • oxps
  • p
  • p12
  • p2i
  • p65
  • p7
  • pages
  • pat
  • patch
  • pbi
  • pbx
  • pcd
  • pct
  • pcx
  • pdf
  • pdfx
  • pehape
  • pem
  • pfb
  • pfq
  • pfx
  • pgp
  • php
  • php3
  • php4
  • php5
  • phps
  • phpx
  • phpxx
  • phtm
  • phtml
  • pic
  • pid
  • pins
  • pip
  • pk
  • pl
  • plb
  • plist
  • plt
  • pm1
  • pmd
  • pmk
  • pmm
  • pmx
  • pnf
  • png
  • pot
  • potm
  • potx
  • pp4
  • pp5
  • ppa
  • ppam
  • ppdf
  • ppf
  • ppj
  • pps
  • ppsm
  • ppsx
  • ppt
  • pptm
  • pptx
  • pref
  • prn
  • prproj
  • prt
  • ps
  • ps1
  • psd
  • psp
  • pspimage
  • pst
  • ptb
  • ptn
  • ptn2
  • ptx
  • pub
  • pvm
  • pwd
  • pwi
  • px
  • py
  • pym
  • qba
  • qbb
  • qbi
  • qbm
  • qbo
  • qbp
  • qbquery
  • qbr
  • qbw
  • qbx
  • qby
  • qcn
  • qcow
  • qcow2
  • qpd
  • qsm
  • qss
  • qst
  • qt
  • qwc
  • qxp
  • r0
  • ra
  • raf
  • rar
  • raw
  • rb
  • rdp
  • recipients
  • recipientsbackup0
  • recipientsbackup1
  • recipientsbackup2
  • recipientsbackup3
  • recipientsbackup4
  • recipientsbackup5
  • recipientsbackup6
  • recipientsbackup7
  • recipientsbackup8
  • recipientsbackup9
  • repl
  • rif
  • riff
  • rm
  • rpb
  • rpmsg
  • rtf
  • rtp
  • rw2
  • s
  • sam
  • sav
  • sb
  • sbf
  • schd
  • sct
  • scv
  • sda
  • sdc
  • sdf
  • sdi
  • sds
  • sdx
  • sdy
  • secure
  • seed
  • sel
  • seq
  • ses
  • set
  • sfs
  • sfv
  • shlb
  • shs
  • shw
  • skb
  • skd
  • skp
  • sldm
  • sldx
  • slf
  • slk
  • sln
  • slt
  • sme
  • smk
  • smm
  • smp
  • smr
  • sms
  • spb
  • spi
  • spro
  • sql
  • sqlite
  • sqlitedb
  • srp
  • srt
  • srv
  • ssc
  • ssi
  • sss
  • stf
  • stg
  • stl
  • stw
  • sub
  • suo
  • svg
  • swf
  • sxw
  • symbolmap
  • syncdb
  • tag
  • tar
  • tav
  • tb3
  • tc
  • tdl
  • tex
  • tga
  • thm
  • thmx
  • tib
  • tif
  • tiff
  • tlg
  • tlx
  • toast
  • torrent
  • tpl
  • ts
  • tv
  • tvc
  • txt
  • ucd
  • ufo
  • user
  • v30
  • val
  • vbk
  • vcard
  • vcd
  • vcf
  • vcs
  • vcxproj
  • vdi
  • vfs4
  • vhd
  • vhdx
  • vir
  • vmc
  • vmdk
  • vmx
  • vob
  • vrge08contact
  • vsd
  • vsv
  • wab
  • wallet
  • war
  • wav
  • wbk
  • wbverify
  • wc
  • wdseml
  • webarchive
  • webm
  • whtt
  • wi
  • wim
  • win
  • wk3
  • wk4
  • wlt
  • wma
  • wmb
  • wmf
  • wmv
  • workflow
  • wpb
  • wpd
  • wpg
  • wpl
  • wps
  • wsb
  • xcf
  • xdw
  • xed
  • xg0
  • xg1
  • xg2
  • xla
  • xlam
  • xlg
  • xlk
  • xll
  • xlm
  • xlr
  • xls
  • xlsb
  • xlsm
  • xlsx
  • xlt
  • xltm
  • xltx
  • xlw
  • xoml
  • xpm
  • xps
  • xqx
  • xsn
  • xz
  • yg0
  • yg1
  • yg2
  • yuv
  • z
  • zip
  • zipx

脅迫状の内容は、以下のとおりです。

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 12.624.08
初回 VSAPI パターンリリース日 2016年7月1日
VSAPI OPR パターンバージョン 12.625.00
VSAPI OPR パターンリリース日 2016年7月2日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_CRYPRAAS.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

■ ランサムウェアファイル復号ツール公開

ランサムウェアの脅威が世界的に深刻になっている状況を受けて、ランサムウェアによって暗号化されたファイルの復号ツールをトレンドマイクロは公開しました。この復号ツールの使用方法や復号可能なファイルの条件などの制限事項については以下のダウンロードページを参照してください。

法人向けダウンロードURL:http://esupport.trendmicro.com/solution/ja-JP///1114224
個人向けダウンロードURL:https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

また、トレンドマイクロでは、ランサムウェアの被害に遭われている法人・個人を対象に無料相談窓口も開設していますので、お困りの方は一度ご相談ください。


ご利用はいかがでしたか? アンケートにご協力ください