Ransom_PCLOCK.A
W32/Filecoder.NFZ!tr (Fortinet); Trojan-Ransom.Win32.Snocry.bln (Kaspersky); Ransom:Win32/Genasom!rfn (Microsoft)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Profile%\cl_data_{BTC wallet identifier}.bak
- %Application Data%\Microsoft\Crypto\en_files.txt - list of encrypted files
- %Application Data%\Microsoft\Crypto\wp.jpg - Ransom Note, image used as wallpaper
- %Desktop%\CryptoLocker.lnk - Shortcut pointing to dropped copy
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\Microsoft\Crypto\sysras.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
2e7a6119 = "%Application Data%\Microsoft\Crypto\sysras.exe"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
2e7a6119\{random}
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
2e7a6119\{random}
{random} = "{BTC wallet identifier}"
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}oadchapel.org/
- http://www.{BLOCKED}ncapital.io/
- http://www.{BLOCKED}k.com/
- http://www.{BLOCKED}dprivateeyes.com/
- http://www.{BLOCKED}ercadoramirez.es/
- http://{BLOCKED}hain.info/q/getreceivedbyaddress/{BTC wallet identifier}?confirmations=0
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .73b
- .787
- .7z
- .7z.001
- .7z.002
- .8cm
- .8pbs
- .8svx
- .8xi
- .9.png
- ._eml
- .a00
- .a01
- .a02
- .a2c
- .a2m
- .a3w
- .a4m
- .a4p
- .a4w
- .a52
- .a5rpt
- .a5w
- .a65
- .aa
- .aa3
- .aac
- .aam
- .aao
- .aax
- .ab3
- .abcd
- .abdata
- .abf
- .abk
- .abm
- .abw
- .abx
- .aby
- .ac3
- .ac5
- .ac6
- .accdb
- .accde
- .accdr
- .acd-zip
- .ace
- .acm
- .acp
- .acr
- .act
- .adc
- .adcp
- .ade
- .adf
- .adp
- .adts
- .adz
- .aep
- .aepx
- .aes
- .aet
- .aetx
- .af2
- .af3
- .afc
- .afd
- .aff
- .afp
- .afs
- .aft
- .afx
- .agd
- .aggr
- .agi
- .agp
- .ai
- .aic
- .aif
- .aifb
- .aifc
- .aiff
- .aim
- .aimppl
- .ain
- .ais
- .aiv
- .ajp
- .akp
- .al
- .alac
- .alaw
- .albm
- .all
- .alp
- .als
- .alz
- .am4
- .am5
- .am6
- .am7
- .amc
- .amf
- .amr
- .ams
- .amu
- .amv
- .amx
- .amz
- .an
- .an8
- .anh
- .anim
- .anm
- .anme
- .ans
- .aob
- .aof
- .ap
- .apd
- .ape
- .aph
- .apm
- .apng
- .aps
- .apt
- .apx
- .apz
- .arc
- .ard
- .arff
- .arh
- .ari
- .aria
- .ariax
- .arj
- .ark
- .aro
- .arr
- .arsc
- .art
- .artproj
- .artwork
- .arw
- .as
- .as2proj
- .as3proj
- .as4
- .asat
- .asc
- .ascii
- .ascs
- .asd
- .ase
- .ashprj
- .ashx
- .asm
- .asnd
- .asp
- .aspx
- .asw
- .at3
- .ate
- .ati
- .atl
- .atm
- .atr
- .atrac
- .au
- .au3
- .aud
- .aup
- .aut
- .ava
- .avchd
- .avhd
- .avi
- .avp
- .awb
- .awd
- .awdb
- .awm
- .aww
- .axx
- .ay
- .azf
- .azs
- .azw
- .azw1
- .azw3
- .azw4
- .azz
- .b1
- .b2a
- .b3d
- .b4s
- .b5i
- .b64
- .b6i
- .ba
- .bac
- .bak
- .bak2
- .bak3
- .bakx
- .bak~
- .band
- .bap
- .bas
- .bay
- .bb
- .bbc
- .bbcd
- .bcf
- .bci
- .bck
- .bcl
- .bcm
- .bdb
- .bdf
- .bean
- .bet
- .bfa
- .bfc
- .bfx
- .bgt
- .bh
- .bho
- .bhx
- .bib
- .bidule
- .bik
- .bim
- .bix
- .bk1
- .bkc
- .bkf
- .bkk
- .bkp
- .bks
- .bld
- .blend
- .blend1
- .blend2
- .blkrt
- .bluej
- .blz
- .bm2
- .bmc
- .bmf
- .bmz
- .bna
- .bnp
- .boc
- .bok
- .bonk
- .boo
- .book
- .box
- .bp3
- .bpa
- .bpb
- .bpd
- .bpdx
- .bpf
- .bpg
- .bpk
- .bpm
- .bpn
- .bpnueb
- .bpr
- .bps
- .bpw
- .br3
- .br4
- .br5
- .br6
- .br7
- .brain
- .brd
- .brf
- .brk
- .brl
- .brn
- .bro
- .brw
- .bs2
- .bs4
- .bsd
- .bsdl
- .bsf
- .bsk
- .btd
- .btf
- .btif
- .btoa
- .bup
- .bur
- .bvd
- .bvp
- .bwf
- .bwg
- .bwi
- .bws
- .bwt
- .bww
- .bz
- .bz2
- .bza
- .bzabw
- .bzip
- .bzip2
- .c
- .c00
- .c01
- .c02
- .c10
- .c2d
- .c3d
- .c3z
- .c4
- .c4d
- .caf
- .caff
- .cal
- .cals
- .cam
- .camm
- .camproj
- .camrec
- .camv
- .can
- .cap
- .caproj
- .capx
- .car
- .cawr
- .cbl
- .cbp
- .cbr
- .cbu
- .cbz
- .cc
- .cca
- .ccb
- .ccd
- .ccf
- .cch
- .ccr
- .ccs
- .cct
- .cd
- .cd2
- .cd5
- .cdb
- .cdd
- .cdda
- .cddx
- .cdf
- .cdg
- .cdi
- .cdm
- .cdmm
- .cdmt
- .cdmtz
- .cdmz
- .cdo
- .cdpx
- .cdpz
- .cdr
- .cdt
- .cdw
- .cdz
- .ce
- .ceb
- .cedprj
- .cef
- .cel
- .celtx
- .cf2
- .cfa
- .cff
- .cfs
- .cg
- .cg3
- .cga
- .cgm
- .cgp
- .ch3
- .chef
- .chg
- .chml
- .chn
- .cib
- .cif
- .cil
- .cimg
- .cin
- .cit
- .ck9
- .ckd
- .ckf
- .ckp
- .ckt
- .cl2
- .cl2arc
- .cl2doc
- .cl2lyt
- .cl2tpl
- .cl4
- .cl5
- .class
- .clb
- .clg
- .clk
- .cls
- .clx
- .cm10
- .cmap
- .cmbl
- .cmf
- .cmmp
- .cmod
- .cmx
- .cmz
- .cna
- .cnd
- .cng
- .cnm
- .cnv
- .cob
- .colz
- .cov
- .cp9
- .cpb
- .cpc
- .cpd
- .cpe
- .cpf
- .cpg
- .cph
- .cpio
- .cpk
- .cpmz
- .cpp
- .cpr
- .cps
- .cpt
- .cptx
- .cpx
- .cpy
- .cr2
- .crd
- .crds
- .crev
- .crt
- .crtr
- .crtx
- .crw
- .crypted
- .cryptra
- .crz
- .cs
- .csa
- .csd
- .csf
- .csh
- .csi
- .cso
- .csp
- .csproj
- .csr
- .csx
- .ct
- .ctm
- .cts
- .ctv
- .ctv3
- .cu
- .cub
- .cut
- .cv5
- .cvc
- .cvg
- .cvi
- .cvs
- .cvw
- .cvx
- .cwb
- .cwk
- .cwp
- .cwt
- .cwz
- .cx3
- .cxd
- .cxf
- .cxp
- .cxt
- .cxx
- .cyp
- .cys
- .czd
- .czi
- .czip
- .czp
- .d00
- .d01
- .d2v
- .d3d
- .d3v
- .d64
- .da2
- .daa
- .daf
- .dal
- .dam
- .dao
- .dash
- .dav
- .dax
- .daz
- .db
- .db1
- .db3
- .dba
- .dbc
- .dbd
- .dbf
- .dbk
- .dbo
- .dbpro
- .dbproj
- .dbr
- .dbs
- .dbt
- .dbv
- .dbx
- .dc
- .dc2
- .dc3
- .dc4
- .dca
- .dcb
- .dcd
- .dce
- .dcf
- .dcm
- .dco
- .dcpf
- .dct
- .dcx
- .dd
- .ddl
- .ddrw
- .dds
- .ddt
- .ded
- .deproj
- .des
- .design
- .det
- .dev
- .dex
- .df1
- .df2
- .dfc
- .dff
- .dfg
- .dfk
- .dfproj
- .dfs
- .dft
- .dfx
- .dgb
- .dgc
- .dgk
- .dgn
- .dgs
- .dib
- .dicom
- .dif
- .dig
- .dim
- .dime
- .dis
- .divx
- .djr
- .djv
- .djvu
- .dke
- .dls
- .dlv
- .dlx
- .dm
- .dm3
- .dmb
- .dmf
- .dmo
- .dmr
- .dms
- .dmsa
- .dmsd
- .dmsd3d
- .dmse
- .dmsm
- .dmsm3d
- .dmsp
- .dmss
- .dmx
- .dna
- .dnc
- .dne
- .dng
- .dnl
- .dob
- .doc
- .docm
- .docx
- .docxml
- .docz
- .dot
- .dotm
- .dotx
- .dov
- .dp1
- .dpb
- .dpd
- .dpp
- .dpr
- .dproj
- .dra
- .drf
- .drg
- .drmx
- .drw
- .drz
- .ds2
- .dsa
- .dsd
- .dse
- .dsf
- .dsg
- .dsgm
- .dsi
- .dsk
- .dsm
- .dso
- .dsp
- .dss
- .dsx
- .dsy
- .dta
- .dtp
- .dtr
- .dts
- .dtshd
- .dtx
- .dv
- .dv-avi
- .dv4
- .dvdproj
- .dvds
- .dvf
- .dvg
- .dvo
- .dvr
- .dvr-ms
- .dvx
- .dw
- .dwa
- .dwd
- .dwf
- .dwfx
- .dwg
- .dwp
- .dwz
- .dx
- .dxb
- .dxf
- .dxg
- .dxr
- .dz
- .e01
- .e4a
- .e57
- .eap
- .ear
- .ebk
- .ecm
- .ecp
- .ecs
- .eda
- .edat2
- .edb
- .ede
- .edf
- .edfx
- .edg
- .edge
- .edk
- .edn
- .edq
- .edrwx
- .eds
- .edv
- .efa
- .efe
- .efk
- .efl
- .efq
- .efr
- .efs
- .efu
- .efv
- .efx
- .egc
- .egg
- .egp
- .eio
- .eip
- .ekb
- .el
- .emc
- .eml
- .emlx
- .enc
- .enex
- .ep
- .epf
- .epi
- .epp
- .eps
- .epsf
- .epub
- .eql
- .er1
- .erf
- .erl
- .es2
- .esb
- .esf
- .eui
- .evo
- .evr
- .evy
- .ewb
- .ewd
- .ex
- .exb
- .exl
- .exm
- .exp
- .exr
- .exw
- .eye
- .ezp
- .f04
- .f06
- .f32
- .f3d
- .f4a
- .f4p
- .f4v
- .f64
- .f90
- .fac
- .face
- .facefx
- .fasta
- .fax
- .fb2
- .fbc
- .fbf
- .fbk
- .fbm
- .fbp
- .fbp7
- .fbr
- .fbw
- .fbz
- .fbz7
- .fcd
- .fcf
- .fcgi
- .fcstd
- .fcw
- .fdd
- .fdi
- .fdp
- .fdr
- .fds
- .fdx
- .fft
- .fg
- .fgl
- .fh10
- .fh11
- .fh3
- .fh4
- .fh5
- .fh6
- .fh7
- .fh8
- .fh9
- .fhd
- .fhf
- .fif
- .fig
- .fimpp
- .fits
- .fla
- .flac
- .flame
- .flb
- .flka
- .flkb
- .flo
- .flow
- .flp
- .flr
- .flt
- .flv
- .flx
- .fm
- .fmpsl
- .fmv
- .fmz
- .fnbk
- .fnc
- .fodp
- .fods
- .fodt
- .fop
- .forth
- .fox
- .fp3
- .fp8
- .fpa
- .fpenc
- .fpf
- .fpj
- .fpos
- .fpp
- .fpx
- .frg
- .frj
- .frm
- .fro
- .frx
- .fry
- .fs
- .fsif
- .fsm
- .fsproj
- .fsq
- .fsx
- .ft10
- .ft11
- .ft7
- .ft8
- .ft9
- .ftl
- .ftm
- .ftmb
- .ftn
- .ftw
- .fwdn
- .fx
- .fxa
- .fxcproj
- .fxl
- .fxm
- .fxml
- .fxs
- .fz
- .fza
- .fzf
- .fzp
- .fzz
- .g3
- .g721
- .g723
- .g726
- .gal
- .gan
- .gb1
- .gb2
- .gbap
- .gbas
- .gbi
- .gbk
- .gbs
- .gca
- .gcd
- .gcdp
- .gcw
- .gcx
- .gdf
- .gdrive
- .gds
- .ged
- .gem
- .gen
- .geo
- .gexf
- .gfar
- .gfb
- .gfe
- .gfp
- .gho
- .ghs
- .gi
- .gig
- .gih
- .gkh
- .gl
- .gla
- .glade
- .glb
- .gld
- .glox
- .gls
- .gm
- .gm6
- .gm81
- .gmd
- .gmk
- .gmspr
- .gmx
- .gmz
- .gno
- .gom
- .gp3
- .gp5
- .gpd
- .gpf
- .gpg
- .gpj
- .gpp
- .gpr
- .gra
- .grade
- .grasp
- .grf
- .grn
- .gro
- .grob
- .groove
- .groovy
- .grr
- .gry
- .gs3
- .gsd
- .gsm
- .gsproj
- .gszip
- .gtar
- .gtp
- .gts
- .gvi
- .gvy
- .gwp
- .gxd
- .gxk
- .gz
- .gz2
- .gza
- .gzip
- .h
- .h0
- .h11
- .h12
- .h264
- .ha
- .hal
- .haml
- .has
- .hbc
- .hbc2
- .hbe
- .hbk
- .hbx
- .hcc
- .hce
- .hci
- .hcp
- .hcr
- .hcx
- .hdmov
- .hdp
- .hdr
- .hdv
- .hex
- .hf
- .hfs
- .hfv
- .hh
- .hip
- .hipnc
- .hki
- .hki1
- .hki2
- .hki3
- .hkm
- .hlsl
- .hma
- .hmi
- .hmk
- .hmxp
- .hpd
- .hpi
- .hpk
- .hpl
- .hpp
- .hqx
- .hr
- .hrf
- .hrl
- .hs
- .hsf
- .html0
- .htmlz
- .htxt
- .htz4
- .htz5
- .hwp
- .hxn
- .hxx
- .hyp
- .hz
- .i00
- .i01
- .i02
- .iba
- .ibb
- .ibcd
- .ibq
- .ic1
- .ic3
- .ic3d
- .ica
- .icap
- .icb
- .ice
- .icml
- .icmt
- .icpr
- .ics
- .idap
- .idea
- .idml
- .idms
- .idpk
- .idw
- .if
- .ifc
- .ifczip
- .iff
- .iges
- .igs
- .igx
- .iiq
- .ilbm
- .ildoc
- .ima
- .imd
- .imf
- .img
- .imj
- .imz
- .incd
- .inct
- .incx
- .ind
- .indb
- .indd
- .inds
- .ink
- .inl
- .inm
- .ino
- .int
- .ipd
- .ipf
- .ipj
- .ipk
- .ipn
- .ipt
- .ipx
- .ircp
- .irf
- .irock
- .irp
- .irx
- .ish
- .ish2
- .ish3
- .isma
- .ismv
- .iso
- .isoz
- .isz
- .iv
- .iv2i
- .iva
- .ive
- .ivf
- .ivr
- .iw
- .iwxdata
- .iwz
- .ix2
- .ixa
- .ixb
- .ize
- .izz
- .izzy
- .j
- .j2c
- .j2k
- .j3o
- .jac
- .jam
- .jar.pack
- .jas
- .jav
- .java
- .jb2
- .jbc
- .jbig
- .jbig2
- .jbk
- .jbmp
- .jclic
- .jcp
- .jed
- .jfif
- .jfsl
- .jic
- .jif
- .jiff
- .jis
- .jng
- .jo
- .jo-7z
- .job
- .joe
- .jp1
- .jp2
- .jpc
- .jpe
- .jpeg
- .jpf
- .jpg
- .jpg2
- .jpr
- .jps
- .jpx
- .jrtf
- .jsd
- .jsda
- .jsfl
- .jt
- .jtf
- .jts
- .jtv
- .jtx
- .jude
- .jvsg
- .jwl
- .jxr
- .k25
- .k26
- .k3g
- .kar
- .kb2
- .kdbx
- .kdc
- .kde
- .kdk
- .key
- .kfn
- .kfx
- .kgb
- .kic
- .kin
- .kit
- .kmv
- .kodak
- .koob
- .koz
- .kpf
- .kpg
- .kpp
- .kpr
- .kpx
- .krz
- .ktp
- .ktz
- .kwd
- .kwm
- .kyr
- .kz
- .layout
- .lbm
- .lbr
- .lcb
- .lcd
- .lcn
- .ldr
- .legal
- .lha
- .lhs
- .lid
- .lisp
- .lit
- .ljp
- .llx
- .lnt
- .lnx
- .lp
- .lp2
- .lp7
- .lpdb
- .lpp
- .lqr
- .lqt
- .lrc
- .lrec
- .lrs
- .lrv
- .lsp
- .lsproj
- .ltr
- .luf
- .lut
- .lutx
- .lvp
- .lvw
- .lw4
- .lwd
- .lwo
- .lwp
- .lws
- .lxf
- .lxo
- .lxsproj
- .lyc
- .lyx
- .lz
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- VB and VBA Program Settings
- VB and VBA Program Settings
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- 2e7a6119 = "%Application Data%\Microsoft\Crypto\sysras.exe"
- 2e7a6119 = "%Application Data%\Microsoft\Crypto\sysras.exe"
手順 6
以下のファイルを検索し削除します。
- {drive letter}:\Your files are locked !!!!!.txt
- {drive letter}:\Your files are locked !!!!.txt
- {drive letter}:\Your files are locked !!!.txt
- {drive letter}:\Your files are locked !!.txt
- {drive letter}:\Your files are locked !.txt
- %User Profile%\cl_data_{BTC wallet identifier}.bak
- %Application Data%\Microsoft\Crypto\en_files.txt
- %Application Data%\Microsoft\Crypto\wp.jpg
- %Desktop%\CryptoLocker.lnk
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom_PCLOCK.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください