• Email
• Facebook
• Twitter
• Google+
• Linkedin

Ransom.Win32.CLOP.D

---

• マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、脅迫状としてファイルを作成します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Malware path}\clearsystems-11-11.bat

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Fany---Fany---6-6-6

自動実行方法

マルウェアは、以下のサービスを開始します。

• Service Name: ProcessNetworkSecurity

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• WINWORD.EXE
• EXCEL.EXE
• THEBAT.EXE
• THEBAT64.EXE
• THUNDERBIRD.EXE
• VISIO.EXE
• WORDPAD.EXE
• MSFTESQL.EXE
• SQLWRITER.EXE
• ORACLE.EXE
• XFSSVCCON.EXE
• OCAUTOUPDS.EXE
• MYDESKTOPQOS.EXE
• MYSQLD-NT.EXE
• MYSQLD-OPT.EXE
• AGNTSVC.EXEAGNTSVC.EXE
• OUTLOOK.EXE
• POWERPNT.EXE

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• {file name}.{file extension}.Clop

マルウェアは、以下を実行します。

• This Ransomware will delete itself:
  • If Keyboard layout are the following:
    • Georgian
    • Russian
    • Tajik
    • Belarusian
    • Armenian
    • Azeri
    • Kazak
    • Kyrgyz
  • If default language ID are the following:
    • Russian
• It will drops and executes "{Malware path}\clearsystems-11-11.bat" if the following process are not found:
  • SBAMTray.exe
  • SBPIMSvc.exe
  • SBAMSvc.exe
  • VipreAAPSvc.exe
  • WRSA.exe
• Executes the following commands to edit the boot configuration data file:
  • bcdedit /set {default} recoveryenabled No
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
• Executes the following commands to delete and resize the shadow copies:
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
  • vssadmin Delete Shadows /all /quiet
• It encrypts all files except the following:
  • Clopreadme.txt
  • ntldr
  • NTLDR
  • boot.ini
  • BOOT.INI
  • ntuser.ini
  • NTUSER.INI
  • AUTOEXEC.BAT
  • autoexec.bat
  • .Clop
  • NTDETECT.COM
  • ntdetect.com
  • .dll
  • .DLL
  • .exe
  • .EXE
  • .sys
  • .SYS
  • .OCX
  • .ocx
  • .LNK
  • .lnk
  • desktop.ini
  • autorun.inf
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • ntuser.dat.log
  • thumbs.db
  • DESKTOP.INI
  • AUTORUN.INF
  • NTUSER.DAT
  • ICONCACHE.DB
  • BOOTSECT.BAK
  • NTUSER.DAT.LOG
  • THUMBS.DB
• It encrypts files located in the following locations:
  • Removable Drives
  • Fixed Drives
  • Shared Drives
• the batch file "{Malware path}\clearsystems-11-11.bat" contains the following strings:
  • vssadmin Delete Shadows /all /quiet
    vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
    vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
    vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
    vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
    vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
    vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
    vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
    vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
    vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
    vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
    vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
    vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
    vssadmin Delete Shadows /all /quiet
    bcdedit /set {default} recoveryenabled No
    bcdedit /set {default} bootstatuspolicy ignoreallfailures

ランサムウェアの不正活動

マルウェアが作成する以下のファイルは、脅迫状です。

• {Encrypted Folder}\Clopreadme.txt
  

<補足>
その他

マルウェアは、以下を実行します。

• マルウェアは、以下の場合、自身を削除します。
  • キーボードの配置が以下の場合:
    • グルジア語
    • ロシア語
    • タジク語
    • ベラルーシ語
    • アルメニア語
    • アゼリ語
    • カザフ語
    • キルギス語
  • 既定の言語IDが以下の場合：
    • ロシア語
• マルウェアは、以下のプロセスが見つからない場合、"{マルウェアパス} \ clearsystems - 11 - 11. Bat"を作成して実行します。
  • SBAMTray.exe
  • SBPIMSvc.exe
  • SBAMSvc.exe
  • VipreAAPSvc.exe
  • WRSA.exe
• ブート構成データファイルを編集するため、以下のコマンドを実行します。
  • bcdedit /set {デフォルト} recoveryenabled No
  • bcdedit /set {デフォルト} bootstatuspolicy ignoreallfailures
• シャドウコピーの削除やサイズ変更を行うため、以下のコマンドを実行します。
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
  • vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
  • vssadmin Delete Shadows /all /quiet
• マルウェアは、以下を除くすべてのファイルを暗号化します。
  • Clopreadme.txt
  • ntldr
  • NTLDR
  • boot.ini
  • BOOT.INI
  • ntuser.ini
  • NTUSER.INI
  • AUTOEXEC.BAT
  • autoexec.bat
  • .Clop
  • NTDETECT.COM
  • ntdetect.com
  • .dll
  • .DLL
  • .exe
  • .EXE
  • .sys
  • .SYS
  • .OCX
  • .ocx
  • .LNK
  • .lnk
  • desktop.ini
  • autorun.inf
  • ntuser.dat
  • iconcache.db
  • bootsect.bak
  • ntuser.dat.log
  • thumbs.db
  • DESKTOP.INI
  • AUTORUN.INF
  • NTUSER.DAT
  • ICONCACHE.DB
  • BOOTSECT.BAK
  • NTUSER.DAT.LOG
  • THUMBS.DB
• マルウェアは、以下の場所に存在するファイルを暗号化します。
  • リムーバブルドライブ
  • 固定ドライブ
  • 共有ドライブ
• バッチファイル "{マルウェアパス} \ clearsystems-11-11.bat"には、以下の文字列が含まれています。
  • vssadmin Delete Shadows /all /quiet
    vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
    vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
    vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
    vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
    vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
    vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
    vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
    vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
    vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
    vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
    vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
    vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
    vssadmin Delete Shadows /all /quiet
    bcdedit /set {デフォルト} recoveryenabled No
    bcdedit /set {デフォルト} bootstatuspolicy ignoreallfailures

    ---

      対応方法

    対応検索エンジン: 9.850

    初回 VSAPI パターンバージョン 14.830.05

    初回 VSAPI パターンリリース日 2019年2月22日

    VSAPI OPR パターンバージョン 14.831.00

    VSAPI OPR パターンリリース日 2019年2月23日

    手順 1

    Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

    手順 3

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    [ 戻る ]

    セーフモードでの起動：

    • Windows 2000 の場合：

    1. コンピュータを起動させます。
    2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
    3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

    • Windows XP の場合：

    1. コンピュータを起動させます。
    2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
    3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

    • Windows Server 2003 の場合：

    1. コンピュータを起動させます。
    2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
    3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

    • Windows Vista、Windows 7 および Windows Server 2008 の場合：

    1. コンピュータを起動させます。
    2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
    3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

    • Windows 8、8.1 および Server 2012の場合：

    1. 画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
    2. マウスで、[設定]－[PC設定の変更]を選択します。
    3. 左側のパネルで、[全般]を選択します。
    4. 右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
    5. [オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
    6. [スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

    • Windows 10 の場合：

    1. キーボードの「Windowsロゴ」キーおよび「（アルファベットの）i」キーを押して「設定」を開きます。これで開かない場合は「スタート」ボタンをクリックして「設定」を選択します。
    2. 「更新とセキュリティ」→「回復」を選択します。
    3. 「詳細起動」下にある「今すぐ再起動」を選択します。
    4. 再起動後、「オプションの選択」画面で「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」→「再起動」を選択します。
    5. 再起動後、「オプションを選択するには、番号を押してください」が表示されます。「4)」を選択するか「F4」キーを押して、セーフモードで起動します。

    手順 4

    このマルウェアのサービスを無効にします。

    [ 詳細 ]

    [ 戻る ]

    •  
      • Service Name: ProcessNetworkSecurity

    このマルウェアのサービスを無効にします。

    ここでは、実行中マルウェアのサービスを終了します。

    1. 「コマンドプロンプト」を起動します。
       
       • Windows 2000、XP および Server 2003 の場合
         [スタート]-[ファイル名を指定して実行]を選択し、cmd と入力し、Enter を押します。
         
       • Windows Vista、7 および Server 2008 の場合：
         [スタート]-[プログラムとファイルの検索]に cmd と入力し、Enter を押します。
         ※cmd は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
       • Windows 8、8.1 および Server 2012 の場合：
         画面左下隅を右クリックし、[コマンドプロンプト]を選択します。
    2. 「コマンドプロンプト」に、以下のコマンドを入力します。
       NET STOP  
       • Service Name: ProcessNetworkSecurity
    3. Enter を押します。サービスの終了を告げるメッセージが表示されます。
    4. 「コマンドプロンプト」を閉じます。

    手順 5

    以下のファイルを検索し削除します。

    [ 詳細 ]

    [ 戻る ]

    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

    • {Malware path}\clearsystems-11-11.bat

    マルウェアのコンポーネントファイルの削除：

  • Windows 2000、XP および Server 2003 の場合：
    1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
       
       • {Malware path}\clearsystems-11-11.bat
    3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
    4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
       註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

  • Windows Vista、7、Server 2008、8、8.1、10 および Server 2012 の場合：
    1. Windowsエクスプローラ画面を開きます。
       • Windows Vista、7 および Server 2008 の場合：
         • [スタート]-[コンピューター]を選択します。
       • Windows 8、8.1、10 および Server 2012 の場合：
         • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
    2. [コンピューターの検索]に、以下を入力します。
       
       • {Malware path}\clearsystems-11-11.bat
    3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
       註：Windows 7 および Server 2008 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。