Ransom.Win32.EXX.THFBIBO

2024年11月28日

解析者: Alyssa Christelle Ramos

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 身代金要求型不正プログラム（ランサムウェア）
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

以下のファイル拡張子を持つファイルは暗号化しません。

詳細

ファイルサイズ 159,744 bytes

タイプ EXE

メモリ常駐はい

発見日 2020年6月29日

ペイロードメッセージボックスの表示, プロセスの強制終了, ファイルの暗号化

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

cipher /w %s
wbadmin.exe delete catalog -quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
schtasks.exe /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable
wevtutil.exe cl Application
wevtutil.exe cl System
wevtutil.exe cl Setup
wevtutil.exe cl Security
wevtutil.exe sl Security /e:false
fsutil.exe usn deletejournal /D C:

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = 1

プロセスの終了

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

javaw
java
sage
ks_action
ks_email
ks_copy
ks_sched
ks_serv
ks_web
ks_report
ks_im
ks_db
pvxiosvr
pvxwin32
xfssvccon
wordpad
wlmail
winword
vmwp
vmware-vmx
vmms
vmconnect
vmcompute
visio
veeam
tv_x64
tv_w32
tomcat
thunderbird
thebat64
thebat
teamviewer
tbirdconfig
tasklist
taskmgr
synctime
sublime_text
stream
steam
sqbcoreservice
screenconnect
ruby
qbw32
pythonw
python
processhacker
powerpnt
postgres
php
outlook
oracle
onenote
om8start
om8
ocssd
ocomm
ocautoupds
notepad
notepad++
node
nginx
ncsvc
ncs
mydesktopservice
mydesktopqos
mspub
msaccess
mongod
metiix
mdccom
mbarw
mail
i_view32
infopath
exchange
excel
encsvc
duplicati
devenv
dbsnmp
dbeng50
database
backup
atom
arw
agntsvcencsvc
agntsvcagntsvc
agntsvc
ARSM
AcrSch2Svc
Acronis VSS Provider
AcronisAgent
AcronixAgent
Antivirus
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BackupExecVSSProvider
DCAgent
DbxSvc
EPSecurityService
EPUpdateService
ESHASRV
EhttpSrv
Enterprise Client Service
EraserSvc11710
EsgShKernel
FA_Scheduler
IISAdmin
IMAP4Svc
KAVFS
KAVFSGT
MBAMService
MBEndpointAgent
MSExchangeAB
MSExchangeADTopology
MSExchangeAntispamUpdate
MSExchangeES
MSExchangeEdgeSync
MSExchangeFBA
MSExchangeFDS
MSExchangeIS
MSExchangeMGMT
MSExchangeMTA
MSExchangeMailSubmission
MSExchangeMailboxAssistants
MSExchangeMailboxReplication
MSExchangeProtectedServiceHost
MSExchangeRPC
MSExchangeRepl
MSExchangeSA
MSExchangeSRS
MSExchangeSearch
MSExchangeServiceHost
MSExchangeThrottling
MSExchangeTransport
MSExchangeTransportLogSearch
MSOLAP$SQL_2008
MSOLAP$SYSTEM_BGC
MSOLAP$TPS
MSOLAP$TPSAMA
MSSQL$BKUPEXEC
MSSQL$ECWDB2
MSSQL$PRACTICEMGT
MSSQL$PRACTTICEBGC
MSSQL$PROD
MSSQL$PROFXENGAGEMENT
MSSQL$SBSMONITORING
MSSQL$SHAREPOINT
MSSQL$SOPHOS
MSSQL$SQLEXPRESS
MSSQL$SQL_2008
MSSQL$SYSTEM_BGC
MSSQL$TPS
MSSQL$TPSAMA
MSSQL$VEEAMSQL2008R2
MSSQL$VEEAMSQL2012
MSSQLFDLauncher
MSSQLFDLauncher$PROFXENGAGEMENT
MSSQLFDLauncher$SBSMONITORING
MSSQLFDLauncher$SHAREPOINT
MSSQLFDLauncher$SQL_2008
MSSQLFDLauncher$SYSTEM_BGC
MSSQLFDLauncher$TPS
MSSQLFDLauncher$TPSAMA
MSSQLSERVER
MSSQLServerADHelper
MSSQLServerADHelper100
MSSQLServerOLAPService
McAfeeEngineService
McAfeeFramework
McAfeeFrameworkMcAfeeFramework
McShield
McTaskManager
MongoDB
MsDtsServer
MsDtsServer100
MsDtsServer110
MySQL57
MySQL80
NetMsmqActivator
OracleClientCache80
OracleServiceXE
OracleXETNSListener
PDVFSService
POP3Svc
RESvc
ReportServer
ReportServer$SQL_2008
ReportServer$SYSTEM_BGC
ReportServer$TPS
ReportServer$TPSAMA
SAVAdminService
SAVService
SDRSVC
SMTPSvc
SNAC
SQL Backups
SQLAgent$BKUPEXEC
SQLAgent$CITRIX_METAFRAME
SQLAgent$CXDB
SQLAgent$ECWDB2
SQLAgent$PRACTTICEBGC
SQLAgent$PRACTTICEMGT
SQLAgent$PROD
SQLAgent$PROFXENGAGEMENT
SQLAgent$SBSMONITORING
SQLAgent$SHAREPOINT
SQLAgent$SOPHOS
SQLAgent$SQLEXPRESS
SQLAgent$SQL_2008
SQLAgent$SYSTEM_BGC
SQLAgent$TPS
SQLAgent$TPSAMA
SQLAgent$VEEAMSQL2008R2
SQLAgent$VEEAMSQL2012
SQLBrowser
SQLSERVERAGENT
SQLSafeOLRService
SQLTELEMETRY
SQLTELEMETRY$ECWDB2
SQLWriter
SQLsafe Backup Service
SQLsafe Filter Service
SamSs
SepMasterService
ShMonitor
SmcService
Smcinst
SntpService
Sophos Agent
Sophos AutoUpdate Service
Sophos Clean Service
Sophos Device Control Service
Sophos File Scanner Service
Sophos Health Service
Sophos MCS Agent
Sophos MCS Client
Sophos Message Router
Sophos Safestore Service
Sophos System Protection Service
Sophos Web Control Service
SstpSvc
Symantec System Recovery
TmCCSF
TrueKey
TrueKeyScheduler
TrueKeyServiceHelper
UI0Detect
Veeam Backup Catalog Data Service
VeeamBackupSvc
VeeamBrokerSvc
VeeamCatalogSvc
VeeamCloudSvc
VeeamDeploySvc
VeeamDeploymentService
VeeamEnterpriseManagerSvc
VeeamHvIntegrationSvc
VeeamMountSvc
VeeamNFSSvc
VeeamRESTSvc
VeeamTransportSvc
W3Svc
WRSVC
Zoolz 2 Service
bedbg
ekrn
kavfsslp
klnagent
macmnsvc
masvc
mfefire
mfemms
mfevtp
mozyprobackup
msftesql$PROD
ntrtscan
sacsvr
sophossps
svcGenericHost
swi_filter
swi_service
swi_update
swi_update_64
tmlisten
wbengine

その他

マルウェアは、以下を実行します。

It opens a console that displays the process ID of the malware, number of workers and computer name:
After its routine, it will then display the number of files encypted and the time it finish its routine:

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

bootsect.bak
iconcache.db
thumbs.db
debug.txt
boot.ini
desktop.ini
autorun.inf
ntuser.dat
ntldr
ntdetect.com
bootfont.bin
!{Targeted Company Acronym}_READ_ME!.txt
ransom
ransomware

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

\windows\system32\
\windows\syswow64\
\windows\system\
\windows\winsxs\
\appdata\roaming\
\appdata\local\
\appdata\locallow\
\all users\microsoft\
\inetpub\logs\
:\boot\
:\perflogs\
:\programdata\
:\drivers\
:\wsus\
:\efstmpwp\
:\$recycle.bin\
crypt_detect
cryptolocker
ransomware
ProgramW6432
%ProgramFiles%

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

{Original Filename}.{Original extension}.{Targeted Company Acronym}

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

{Encrypted Directory}\!{Targeted Company Acronym}_READ_ME!.txt

以下のファイル拡張子を持つファイルについては暗号化しません：

.ani
.cab
.cpl
.cur
.diagcab
.diagpkg
.dll
.drv
.hlp
.icl
.icns
.ico
.iso
.ics
.lnk
.idx
.mod
.mpa
.msc
.msp
.msstyles
.msu
.nomedia
.ocx
.prf
.rtp
.scr
.shs
.spl
.sys
.theme
.themepack
.exe
.bat
.cmd
.url
.mui
.{Targeted Company Acronym}

<補足>
その他

マルウェアは、以下を実行します。

マルウェアのプロセスID、ワーカープロセスの数、コンピュータ名を表示するコンソールを開きます。
不正活動の実行後、マルウェアが暗号化したファイルの数および自身の不正活動を終えた時間を表示します。

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.960.03

初回 VSAPI パターンリリース日 2020年6月29日

VSAPI OPR パターンバージョン 15.961.00

VSAPI OPR パターンリリース日 2020年6月30日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

Troj.Win32.TRX.XXPE50FFF036

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

• Windows 10 の場合：

キーボードの「Windowsロゴ」キーおよび「（アルファベットの）i」キーを押して「設定」を開きます。これで開かない場合は「スタート」ボタンをクリックして「設定」を選択します。
「更新とセキュリティ」→「回復」を選択します。
「詳細起動」下にある「今すぐ再起動」を選択します。
再起動後、「オプションの選択」画面で「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」→「再起動」を選択します。
再起動後、「オプションを選択するには、番号を押してください」が表示されます。「4)」を選択するか「F4」キーを押して、セーフモードで起動します。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- DisableConfig = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- DisableSR = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableConfig = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
- DisableSR = 1

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{Encrypted Directory}\!{Targeted Company Acronym}_READ_ME!.txt

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Ransom.Win32.EXX.THFBIBO」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

暗号化されたファイルをバックアップから復元します。

手順 9

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.EXX.THFBIBO」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

Ransom.Win32.EXX.THFBIBO

概要

詳細

対応方法

関連ブログ記事