解析者: Marvelous Pelin   
 別名:

Ransom:Win32/Petya(Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

暗号化ランサムウェア「PETYA」の亜種は、2017年6月末に確認された現在進行中の攻撃キャンペーンで利用されています。このランサムウェアは、暗号化の機能に加えて、ロングイン認証情報を窃取する機能も備えています。このランサムウェアに感染すると、ファイルが暗号化され、コンピュータのセキュリティが侵害されます。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 362,360 bytes
タイプ DLL
メモリ常駐 はい
発見日 2017年6月27日
ペイロード 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %ProgramData%\dllhost.dat

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • \{remote machine name}\admin$\{malware filename}

    (Notes: The shared name admin$ refers to the directory where Windows is installed.)

情報漏えい

マルウェアは、以下の情報を収集します。

  • Username
  • Password

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

  • .3ds
  • .7z
  • .accdb
  • .ai
  • .asp
  • .aspx
  • .avhd
  • .back
  • .bak
  • .c
  • .cfg
  • .conf
  • .cpp
  • .cs
  • .ctl
  • .dbf
  • .disk
  • .djvu
  • .doc
  • .docx
  • .dwg
  • .eml
  • .fdb
  • .gz
  • .h
  • .hdd
  • .kdbx
  • .mail
  • .mdb
  • .msg
  • .nrg
  • .ora
  • .ost
  • .ova
  • .ovf
  • .pdf
  • .php
  • .pmf
  • .ppt
  • .pptx
  • .pst
  • .pvi
  • .py
  • .pyc
  • .rar
  • .rtf
  • .sln
  • .sql
  • .tar
  • .vbox
  • .vbs
  • .vcb
  • .vdi
  • .vfd
  • .vmc
  • .vmdk
  • .vmsd
  • .vmx
  • .vsdx
  • .vsv
  • .work
  • .xls
  • .xlsx
  • .xvd
  • .zip

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • \{remote machine name}\admin$\{malware filename}
    • (※註:共有名admin$は、Windowsがインストールされているディレクトリを指します。)

マルウェアが収集する情報は以下のとおりです。

  • ユーザ名
  • パスワード

マルウェアは、実行後10分から60分待機してコンピュータを再起動します。

マルウェアは、感染コンピュータの「Master BootRecord(MBR)」を上書きします。マルウェアは、「Master File Table (MFT)」を暗号化します。

マルウェアは、暗号化したファイルのファイル名を改称しません。

マルウェアは以下のコマンドを実行します。

  • dllhost.dat \\{remote machine name} -accepteula -s -d C:\Windows\System32\rundll32 "C:\Windows\{malware filename}",#1 {random number minimum 10} {enumerated credentials}

コマンドの実行が成功しない場合、マルウェアは"wmic.exe"を利用してリモートコンピュータのファイルを実行します。

  • %System%\wbem\wmic.exe /node:"{node}" /user:"{user name}" /password:"{password}" process call create "C:\Windows\System32\rundll32 \"C:\Windows\{malware filename}\" #1 {random number minimum 10} {enumerated credentials}"

(※註:%System% は、Windowsシステムフォルダで、通常、C:\Windows\System32)

マルウェアは、"README.txt"というファイル名の脅迫状を作成します。脅迫状には以下が含まれています。

コンピュータの再起動後、マルウェアは以下の画面を表示します。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.498.06
初回 VSAPI パターンリリース日 2017年6月27日
VSAPI OPR パターンバージョン 13.499.00
VSAPI OPR パターンリリース日 2017年6月29日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Master Boot Record(MBR)を修復します。

Master Boot Record(MBR)の修復:

• Windows 2000、XP および Server 2003 の場合:

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行してください。検出したパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール CD を使用して、コンピュータを再起動します。
  3. [セットアップへようこそ] 画面で、修復の R キーを押します。
    註: Windows 2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。)
  4. 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
  5. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
  6. コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
  7. 以下のコマンドを入力し、Enter を押します。
    fixmbr <感染したドライブ>
    ※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。
    ※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。
  8. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7、Windows Server 2008の場合:

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール DVD を使用して、コンピュータを再起動します。
  3. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
  4. Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
  5. [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム(OS)を選択し、[次へ]をクリックします。
  6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
  7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
  8. 以下のコマンドを入力し、Enter を押します。
    BootRec.exe /fixmbr
  9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
  10. [再起動]をクリックし、コンピュータを通常どおり再起動してください。

• Windows 8、8.1、Server 2012 の場合:

  1. Windows のインストールDVDを使用して、コンピュータを再起動します。
  2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
  3. [トラブルシューティング]-[詳細オプション]-[コマンドプロンプト]を選択。
  4. [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
    BootRec.exe /fixmbr
  5. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
  6. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
  7. [再起動]をクリックし、コンピュータを通常起動します。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %ProgramData%\dllhost.dat

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_PETYA.SMA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください