RANSOM_FILESPIDER.A

2018年1月10日

解析者: Johnlery Triunfante

別名:

Trojan-Ransom.MSIL.Agent.gow (Kaspersky); Troj/Spider-J (Sophos); Ransom:Win32/SpiderFCryp (Microsoft)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい

概要

感染経路他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 29,184 bytes

メモリ常駐なし

発見日 2017年12月10日

ペイロードファイルの作成

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

作成活動

マルウェアは、以下のファイルを作成します。

{path of encrypted file}\HOW TO DECRYPT FILES.url
%Application Data%\Spider\id.txt
%Application Data%\Spider\5p1d3r
%Application Data%\Spider\files.txt ← Contains list of encrypted files

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

raf
rar
ras
raw
rb
rctd
rcu
rdb
rdl
re4
readme
rft
rgb
rgf
rgss3a
rib
ric
riff
rim
ris
rix
rle
rli
rng
rofl
rpd
rpf
rpt
rri
rs
rsb
rsd
rsr
rst
rt
rtd
rtf
rtx
run
rw2
rwl
rzk
rzn
s2mv
s3m
saf
safetext
sai
sam
sav
save
sb
sbf
sc2save
scad
scc
sci
scm
scriv
scrivx
sct
scv
scw
sdb
001
036
0411
1cd
1st
2bp
3dm
3ds
3fr
3g2
3gp
4db
4dl
4mp
73i
7z
7zip
8xi
9png
DayZProfile
a3d
aaf
abm
abs
abw
accdb
accdc
accde
accdr
accdt
accdw
accft
act
adn
adp
aep
aepx
aet
af2
af3
aft
afx
agif
agp
ahd
ai
aic
aif
aim
albm
alf
ani
ans
apd
apk
apm
apng
aps
apt
apx
arch00
art
artwork
arw
as
as3
asc
ascii
ase
asf
ask
asp
asset
asw
asx
asy
aty
avatar
awdb
awp
awt
aww
azz
backup
bad
bak
bar
bat
bay
bbs
bc6
bc7
bdb
bdp
bdr
bean
bib
big
bik
bkf
bkp
blend
blkrt
blob
bm2
bmp
bmx
bmz
bna
bnd
boc
bok
brk
brn
brt
bsa
bss
btd
bti
btr
byu
bzabw
c
c4
c4d
cal
cals
can
cas
cd5
cdb
cdc
cdg
cdmm
cdmt
cdmtz
cdmz
cdr
cdr3
cdr4
cdr6
cdrw
cdt
cer
cf
cfr
cfu
cgm
chart
chord
cimg
cin
cit
ckp
class
clkw
cma
cmx
cnm
cnv
colz
conf
contact
cpc
cpd
cpg
cpp
cps
cpt
cpx
cr2
crd
crt
crw
crwl
cs
css
csv
csy
ct
cv5
cvg
cvi
cvs
cvx
cwt
cxf
cyi
d3dbsp
daconnections
dacpac
dad
dadiagrams
daf
das
daschema
dat
dazip
db
db-shm
db-wal
db0
db2
db3
dbc
dbf
dbfv
dbk
dbs
dbt
dbv
dbx
dc2
dca
dcb
dcr
dcs
dct
dcx
ddl
ddoc
dds
ded
der
desc
design
df1
dgn
dgs
dgt
dhs
dib
dicom
diz
djv
djvu
dm3
dmi
dmo
dmp
dnc
dne
dng
doc
docb
docm
docx
docxml
docz
dot
dotm
dotx
dp1
dpp
dpx
dqy
drw
drz
dsk
dsn
dsv
dt
dt2
dta
dtsx
dtw
dvi
dvl
dwg
dx
dxb
dxf
dxg
dxl
eco
ecw
ecx
edb
efd
efx
egc
eio
eip
eit
email
emd
emf
emlx
ep
epf
epk
epp
eps
epsf
eql
erf
err
esm
etf
etx
euc
exr
fadein
fal
faq
fax
fb2
fb3
fbl
fbx
fcd
fcf
fdb
fdf
fdr
fds
fdt
fdx
fdxt
fes
ff
fft
fh10
fh11
fh3
fh4
fh5
fh6
fh7
fh8
fic
fid
fif
fig
fil
fla
flc
fli
flr
fm5
fmp
fmp12
fmpsl
fmv
fodt
fol
forge
fos
fountain
fp3
fp4
fp5
fp7
fpk
fpos
fpt
fpx
frt
fsh
ft10
ft11
ft7
ft8
ft9
ftn
fwdn
fxc
fxg
fzb
fzv
g3
gcdp
gdb
gdoc
gdraw
gem
geo
gfb
gfie
ggr
gho
gif
gih
gim
gio
glox
gmbck
gmspr
gpd
gpn
gro
grob
grs
gsd
gthr
gtp
gv
gwi
h
hbk
hdb
hdp
hdr
hht
his
hkdb
hkx
hpg
hpgl
hpi
hpl
hplg
hs
htc
html
hvpl
hwp
hz
i3d
ib
ibank
icn
icon
icpr
icxs
idc
idea
idml
idx
iff
igt
igx
ihx
iil
iiq
imd
indb
indd
indl
indt
info
ink
int
inx
ipf
ipx
itc2
itdb
itl
itm
itw
iwd
iwi
j
j2c
j2k
jar
jarvis
jas
java
jb2
jbig
jbig2
jbmp
jbr
jfif
jia
jis
jng
joe
jp1
jp2
jpe
jpeg
jpg
jpg2
jps
jpx
jrtf
js
jtf
jtx
jwl
jxr
kdb
kdbx
kdc
kdi
kdk
kes
kf
kic
klg
knt
kon
kpg
kwd
latex
layout
lbf
lbm
lbt
lgc
lis
lit
litemod
ljp
lmk
lnk
lnt
lp2
lrc
lrf
lst
ltr
ltx
lue
luf
lvl
lwo
lwp
lws
lxfml
lyt
lyx
m2
m3d
m3u
m3u8
m4a
m4u
ma
mac
man
map
maq
mat
max
mb
mbm
mbox
mcgame
mcmeta
md5txt
mdb
mdbackup
mdbhtml
mddata
mdf
mdn
mdt
me
mef
mell
menu
mft
mgcb
mgmf
mgmt
mgmx
mgtx
mid
min
mkv
mlx
mmat
mng
mnr
mnt
mobi
mos
movie
mp4
mpa
mpf
mpo
mpqge
mrg
mrwref
mrxs
msg
mt9
mud
mwb
mwp
mxl
myd
myl
ncf
ncr
nct
ndf
nfo
njx
nlm
notes
now
nrw
ns2
ns3
ns4
nsf
ntl
nv2
nwctxt
nyf
nzb
obj
oc3
oc4
oc5
oce
oci
ocr
odb
odc
odm
odo
odp
ods
odt
ofl
oft
omf
openbsd
oplc
oqy
ora
orf
ort
orx
ota
otg
oti
ott
ovp
ovr
owc
owg
oyx
ozb
ozj
ozt
p12
p7b
p7c
p7s
p96
p97
pages
pak
pal
pan
pano
pap
pbd
pbl
pbm
pc1
pc2
pc3
pcd
pcs
pcx
pdb
pdd
pdf
pdm
pdn
pe4
pef
pem
pfd
pff
pfi
pfs
pfv
pfx
pgf
pgm
phm
php
pi1
pi2
pi3
pic
pict
pix
pjpeg
pjpg
pjt
pkpass
pl
plantuml
plb
plt
pm
pmd
pmg
png
pni
pnm
pntg
pnz
pobj
pop
pot
potm
potx
pp4
pp5
ppam
ppj
ppm
pps
ppsm
ppsx
ppt
pptm
pptx
prel
prproj
prt
prw
ps
ps1
psd
psdx
pse
psid
psk
psp
pspbrush
pst
psw
ptg
pth
ptx
pu
pvj
pvm
pvr
pwa
pwi
pwr
px
pxr
py
pz3
pza
pzp
pzs
qdf
qdl
qic
qmg
qpx
qry
qvd
r3d
ra
rad
sdf
sdm
sdoc
sdw
sep
ses
sfc
sfera
sfw
sgm
sid
sidd
sidn
sie
sig
sis
sk1
sk2
skcard
skm
sla
slagz
sld
sldasm
slddrt
sldm
sldprt
sldx
slm
sls
smf
smil
sms
snagitstamps
snagstyles
snx
sob
spa
spe
sph
spj
spp
spq
spr
sqb
sql
sqlite
sqlite3
sqlitedb
sr2
srf
srw
ssa
ssfn
ssk
st
ste
stm
stn
stp
str
strings
stw
sty
sub
sum
sumo
sva
svf
svg
svgz
swf
sxd
sxg
sxw
syncdb
t12
t13
t2b
tab
tax
tb0
tbn
tcx
tdf
tdt
te
teacher
tex
text
tfc
tg4
tga
thm
thp
thumb
tif
tiff
tjp
tlb
tlc
tm
tm2
tmd
tmv
tmx
tn
tne
tor
tpc
tpi
trelby
trm
tvj
txt
u3d
u3i
udb
ufo
ufr
uga
unauth
unity
unity3d
unx
uof
uot
upd
upk
url
usertile-ms
usr
utf8
utxt
v12
vault
vbox
vbr
vcf
vct
vda
vdb
vdf
vdi
vec
vff
vfs0
vml
vnt
vob
vpd
vpe
vpk
vpp_pc
vrml
vrp
vsd
vsdm
vsdx
vsm
vst
vstm
vstx
vtf
vue
vw
w3x
wb1
wb2
wbc
wbd
wbk
wbm
wbmp
wbz
wcf
wdb
wdp
webdoc
webm
webp
wgz
wire
wmdb
wmf
wmo
wmv
wn
wotreplay
wp
wp4
wp5
wp6
wp7
wpa
wpb
wpd
wpe
wpg
wpl
wps
wpt
wpw
wri
wsc
wsd
wsh
wtx
wvl
x
x3d
x3f
xar
xbdoc
xbplate
xdb
xdl
xf
xhtm
xla
xlam
xld
xlf
xlgc
xlk
xll
xlm
xls
xlsb
xlsm
xlsx
xlt
xltm
xltx
xlw
xmind
xml
xmmap
xpm
xps
xqx
xwp
xxx
xy3
xyp
xyw
y
yal
ybk
yml
ysp
z3d
zabw
zdb
zdc
zif
zip
ztmp
zw

マルウェアは、以下のフォルダ内で確認されたファイルの暗号化はしません。

tmp
Videos
winnt
Application Data
Spider
PrefLogs
Program Files (x86)
Program Files
ProgramData
Temp
Recycle
System Volume Information
Boot
Windows

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

.spider

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 13.836.04

初回 VSAPI パターンリリース日 2017年12月11日

VSAPI OPR パターンバージョン 13.837.00

VSAPI OPR パターンリリース日 2017年12月12日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\Spider

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{path of encrypted file}\HOW TO DECRYPT FILES.url

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_FILESPIDER.A」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

RANSOM_FILESPIDER.A

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

RANSOM_FILESPIDER.A

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa