ホーム > お知らせ > ウイルス情報 > ウイルス情報一覧 > Win32/Filecoder.LockedFile.I

Win32/Filecoder.LockedFile.I

公開日:2019年03月27日

危険度:1

定義名称 Win32/Filecoder.LockedFile.I
シグネチャ検査による結果だった場合 Win32/Filecoder.LockedFile.I
別名 Ransom:Win32/GandCrab!bit(Microsoft)、Trojan.Encoder.26420(Dr.Web)、W32/Ransom.ACK(F-Prot)
種別 ランサムウェア
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Filecoder.LockedFile.Iの亜種 トロイの木馬」という名称で警告が出ます。
対応時期 バージョン18186(20181009)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このトロイの木馬は、固定ドライブやネットワークドライブのファイルを暗号化します。ファイルを復号するためのパスワードや手順と引き換えに、特定の条件に従うようユーザーに要求します。詳しい活動内容については、下記をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。

例:
%windir% : Windowsオペレーティングシステムがインストールされたディレクトリのパス(インストール時の設定により異なる場合があります)。
%system% : %windir% のサブディレクトリである"System"や"System32"のパス。
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。

その他に関しては、以下のページも参考にしてください。
Microsoft Malware Protection Center - Malware help
Common Folder variables

解説

侵入(インストレーション)について

このトロイの木馬は、実行時に自身を次の場所にコピーします。

%malwarefolder%\NW[%variable%].exe

%variable%には可変の文字列が入ります。

このコピーを実行します。

ペイロード情報

このトロイの木馬は、固定ドライブやネットワークドライブのファイルを暗号化します。

次の拡張子を持つファイルを探します。

拡張子一覧開く

.7Z
.ACCDB
.BAK
.CDR
.CELL
.DB
.DB2
.DB3
.DBC
.DBF
.DBK
.DBS
.DBS
.DBX
.DOC
.DOCX
.DOT
.DOTX
.DT
.DWG
.EQL
.GZ
.HCDT
.HML
.HPT
.HSDT
.HWDT
.HWP
.HWPX
.HWT
.JPEG
.JPG
.LDF
.MDB
.MDF
.MYD
.NDF
.NDF
.NS2
.NS3
.NS4
.NSF
.NXL
.NXT
.ODS
.ODT
.PDF
.PSD
.RAR
.SDF
.SHOW
.SQL
.SQLITE
.SQLITE3
.SQLITEDB
.TAR
.TIB
.VHD
.VPD
.XLS
.XLSX
.ZIP

次の拡張子を持つファイルは暗号化しません。

.BLF
.BMP
.DLL
.ICO
.LOG
.LOG1
.LOG2
.RBS
.RDP
.REGTRANS-MS
.RTF
.SEARCH-MS
.SEK
.SETTINGCONTENT-MS
.TMP
.VBS
.XML

パスに次の文字列のいずれかが含まれているファイルは暗号化しません。

(X86)\ACRONIS\
(X86)\BACKUP MANAGER\
(X86)\BACKUPCLIENT\
(X86)\CARBONITE\
(X86)\DROPBOX\
(X86)\GOOGLE\DRIVE\
(X86)\MICROSOFT ONEDRIVE\
(X86)\ONEDRIVE\
\$RECYCLE.BIN\
\7-ZIP\
\ASPNET_CLIENT\
\AVAST
\AVDEFENDER
\AVG
\BITDEFENDER
\BOOT\
\COMMON FILES\
\DEFAULT USER\
\DVD MAKER\
\ESET
\INTERNET EXPLORER\
\KASPERSKY LAB
\KASPERSKYLAB
\MALWAREBYTES
\MCAFEE
\MICROSOFT OFFICE\
\MICROSOFT SILVERLIGHT\
\MICROSOFT\CRYPTO\
\MICROSOFT\OFFICE\
\MICROSOFT\PROVISIONING\
\MSOCACHE\
\PANDA SECURITY
\PROGRAMDATA\MICROSOFT\
\REFERENCE ASSEMBLIES\
\SOPHOS
\SYMANTEC ENDPOINT
\TEMP\
\TOR BROWSER\
\TREND MICRO
\WINDOWS DEFENDER\
\WINDOWS MEDIA PLAYER\
\WINDOWS NT\
\WINDOWS SIDEBAR\
\WINDOWS.OLD\
\WINDOWS\
\WINDOWS10UPGRADE\
\WINDOWSAPPS\
\WINDOWSPOWERSHELL\
\WINRAR\
FILES\ACRONIS\
FILES\BACKUP MANAGER\
FILES\BACKUPCLIENT\
FILES\CARBONITE\
FILES\DROPBOX\
FILES\GOOGLE\DRIVE\
FILES\MICROSOFT ONEDRIVE\
FILES\ONEDRIVE\

目的のファイルを見つけたら、そのコンテンツを暗号化します。

暗号化にはRSAとChaCha20のアルゴリズムが使用されます。

暗号化されたファイルの名前は次のように変更されます。

[ransomriggs@qq.com].%randomstring1%-%randomstring2%.EMAN50

%randomstring1%と%randomstring2%には可変の文字列がそれぞれ入ります。

ファイルを復号するためのパスワードや手順と引き換えに、特定の条件に従うようユーザーに要求します。

ドライブを検索する際、アクセスしたすべてのフォルダーに次のファイルを作成します。

#README_EMAN50#.rtf

このファイルには次のテキストが記述されています。

HOW TO RECOVER YOUR FILES INSTRUCTION ATENTION!!! We are realy sorry to inform you that ALL YOUR FILES WERE ENCRYPTED by our automatic software. It became possible because of bad server security. ATENTION!!! Please don't worry, we can help you to RESTORE your server to original state and decrypt all your files quickly and safely! INFORMATION!!! Files are not broken!!! Files were encrypted with AES-128+RSA-2048 crypto algorithms. There is no way to decrypt your files without unique decryption key and special software. Your unique decryption key is securely stored on our server. For our safety, all information about your server and your decryption key will be automaticaly DELETED AFTER 7 DAYS! You will irrevocably lose all your data! * Please note that all the attempts to recover your files by yourself or using third party tools will result only in irrevocable loss of your data! * Please note that you can recover files only with your unique decryption key, which stored on our side. If you will use the help of third parties, you will only add a middleman. HOW TO RECOVER FILES??? Please write us to the e-mail (write on English or use professional translator): ransomriggs@qq.com ransomriggs@protonmail.com ransomriggs@tutanota.com You have to send your message on each of our 3 emails due to the fact that the message may not reach their intended recipient for a variety of reasons! In subject line write your personal ID: ############### We recommed you to attach 3 encrypted files to your message. We will demonstrate that we can recover your files. * Please note that files must not contain any valuable information and their total size must be less than 5Mb. OUR ADVICE!!! Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server. We will definitely reach an agreement ;) !!! ALTERNATIVE COMMUNICATION If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаils fоr mоrе then 24 hours please sеnd us Bitmеssаgеs frоm а wеb brоwsеr thrоugh thе wеbpаgе https://bitmsg.me. Bеlоw is а tutоriаl оn hоw tо sеnd bitmеssаgе viа wеb brоwsеr: 1. Оpеn in yоur brоwsеr thе link https://bitmsg.me/users/sign_up аnd mаkе thе rеgistrаtiоn bу еntеring nаmе еmаil аnd pаsswоrd. 2. Уоu must cоnfirm thе rеgistrаtiоn, rеturn tо уоur еmаil аnd fоllоw thе instructiоns thаt wеrе sеnt tо уоu. 3. Rеturn tо sitе аnd сlick "Lоgin" lаbеl оr usе link https://bitmsg.me/users/sign_in, еntеr уоur еmаil аnd pаsswоrd аnd click thе "Sign in" buttоn. 4. Сlick thе "Сrеаtе Rаndоm аddrеss" buttоn. 5. Сlick thе "Nеw mаssаgе" buttоn. 6. Sеnding mеssаgе: Tо: Еntеr аddrеss: empty Subjесt: Еntеr уоur ID: ############### Mеssаgе: Dеscribе whаt уоu think nеcеssаrу. Сlick thе "Sеnd mеssаgе" buttоn.

情報の取得

このトロイの木馬は個人情報を盗み出します。

次の情報を収集します。

マルウェアのバージョン
コンピューター名
ユーザー名

収集した情報をリモートのコンピューターに送信しようとします。

1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

その他の情報

このトロイの木馬は次のファイルを作成します。

%userdata%\%variable%.bmp

%variable%には可変の文字列が入ります。

このファイル/画像が壁紙として設定されます。

次のレジストリーエントリーを設定します。

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper" = "%userdata%\%variable%.bmp"
"WallpaperStyle" = 0
"TileWallpaper" = 0

次のファイルを作成します。

%malwarefolder%\ALL_dmp.fldp
%malwarefolder%\log.txt
%malwarefolder%\LFIN_%id%.txt

%id%には可変の文字列が入ります。