Win32/Filecoder.FS
公開日:2017年10月20日
危険度:2
| 定義名称 | Win32/Filecoder.FS |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Filecoder.FS |
| 別名 | Trojan.Win32.Inject.aceot(Kaspersky)、Trojan.MulDrop7.2412(Dr.Web)、TR/FileCoder.sfupx(Avira)、Ransom:Win32/Teerac.Q(Microsoft) |
| 種別 | トロイの木馬、ランサムウェア |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Filecoder.FSの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン14010(20160824)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | このトロイの木馬は、固定ドライブやリムーバブルドライブ、ネットワークドライブのファイルを暗号化します。ファイルを元の状態に戻すためのパスワードや手順と引き換えに、指定したアドレスに電子メールを送信するようユーザーに要求します。詳しい活動内容については、下記をご参照ください。 |
検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。
例:
%windir% : Windowsオペレーティングシステムがインストールされたディレクトリのパス(インストール時の設定により異なる場合があります)。
%system% : %windir% のサブディレクトリである"System"や"System32"のパス。
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。
その他に関しては、以下のページも参考にしてください。
Microsoft Malware Protection Center - Malware help
Common Folder variables
解説
侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%appdata%\trust.exe
次のファイルを%temp%フォルダーに作成する場合があります。
ns%variable%.tmp\System.dll (11264 B)
Samizdat.g (85421 B)
solstice.dll (57344, Win32/Injector.DHWO)
%variable%には可変の文字列が入ります。
システムが起動するたびに実行されるよう、次のレジストリーエントリーを設定します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SG" = "%appdata%\trust.exe"
次のレジストリーエントリーを設定する場合があります。
[HKEY_CURRENT_USER\Software\Globe]
"idle" = "YES"
"temp" = %variable%
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Read Me Please" = "mshta.exe\"%userprofile%\Read Me Please.hta\""
インストール終了後、元の実行ファイルを削除します。
ペイロード情報
このトロイの木馬は、固定ドライブやリムーバブルドライブ、ネットワークドライブのファイルを暗号化します。
次のドライブでファイルを探します。
A:\- Z:\
リモートのコンピューターの共有フォルダーで実行ファイルも探します。
パスに次の文字列のいずれかが含まれていないフォルダーのみが検索されます。
intel
nvidia
Windows
AppData
All Users
Program Files
Program Files (x86)
System Volume Information
Application Data
$RECYCLE.BIN
次のディレクトリ内のファイルは暗号化しません。
%windir%
%appdata%
%programdata%
%programfiles%
%allusersprofile%
次の拡張子を持つファイルを探します。
001
1cd
3d
3d4
3df8
3dm
3ds
3fr
3g2
3ga
3gp
3gp2
3mm
3pr
73i87a
7z
7zip
8ba
8bc
8be
8bf
8bi8
8bl
8bs
8bx
8by
8li
@aol.com
@india.com
a2c
a5zfn
aa
aa3
aaa
aac
aaf
ab4
abc
abk
abw
ac2
ac3
accdb
accde
accdr
accdt
ace
ach
acr
act
adb
ade
adi
adp
adpb
adr
ads
adt
aep
aepx
aes
aet
afp
agd1
agdl
ai
aif
aiff
aim
aip
ais
ait
ak
al
allet
amf
amr
amu
amx
amxx
ans
aoi
ap
ape
api
apj
apk
apnx
arc
arch00
ard
ari
arj
aro
arr
arw
as
as3
asa
asc
ascx
ase
asf
ashx
asm
asmx
asp
aspx
asr
asset
asx
automaticdestinations-ms
avi
avs
awg
axx
azf
azs
azw
azw1
azw3
azw4
b2a
back
backup
backupdb
bad
bak
bank
bar
bay
bc6
bc7
bck
bcp
bdb
bdp
bdr
bfa
bgt
bi8
bib
bic
big
bik
bin
bitstak
bkf
bkp
bkup
blend
blob
blp
bmc
bmf
bml
bmp
boc
bp2
bp3
bpk
bpl
bpw
brd
breaking_bad
bsa
bsk
bsp
btc
btoa
bvd
c
cag
cam
camproj
cap
car
cas
cat
cbf
cbr
cbz
cc
ccc
cccrrrppp
ccd
ccf
cch
cd
cdf
cdi
cdr
cdr3
cdr4
cdr5
cdr6
cdrw
cdx
ce1
ce2
cef
cer
cerber
cerber2
cerber3
cert
cfg
cfp
cfr
cgf
cgi
cgm
cgp
chk
chml
cib
class
clr
cls
clx
cmf
cms
cmt
cnc
cnf
cng
cod
col
con
conf
config
contact
coverton
cp
cpi
cpio
cpp
cr2
craw
crd
crinf
crjoker
crptrgr
crt
crw
crwl
cry
cryp1
crypt
crypted
cryptolocker
cryptowall
cryptra
crypz
cs
csh
csi
csl
cso
csr
css
csv
ctt
cty
cue
cwf
czvxce
d3dbsp
dac
dal
dap
darkness
das
dash
dat
database
dayzprofile
dazip
db
db-journal
db0
db3
db_journal
dba
dbb
dbf
dbfv
dbx
dc2
dc4
dch
dco
dcp
dcr
dcs
dcu
ddc
ddcx
ddd
ddoc
ddrw
dds
default
dem
der
des
desc
design
desklink
dev
dex
dfm
dgc
dic
dif
dii
dim
dime
dip
dir
directory
disc
disk
dit
divx
diz
djv
djvu
dlc
dmg
dmp
dng
dob
doc
docb
docm
docx
dot
dotm
dotx
dox
dpk
dpl
dpr
drf
drw
dsk
dsp
dtd
dvd
dvi
dvx
dwg
dxb
dxe
dxf
dxg
e4a
ecc
edb
efl
efr
efu
efx
eip
elf
emc
emf
eml
enc
enciphered
encrypt
encrypted
enigma
enx
epk
eps
epub
eql
erbsql
erf
err
esf
esm
euc
evo
ex
exf
exif
exx
ezz
f90
fantom
faq
fcd
fdb
fdr
fds
ff
ffd
fff
fh
fhd
fla
flac
flf
flp
flv
flvv
for
forge
fos
fpenc
fpk
fpp
fpx
frm
fsh
fss
fun
fxg
gam
gdb
gfe
gfx
gho
gif
good
gpg
gray
grey
grf
groups
gry
gthr
gxk
gz
gzig
gzip
h
h3m
h4r
ha3
hbk
hbx
hdd
herbst
hex
hkdb
hkx
hplg
hpp
hqx
htm
html
htpasswd
hvpl
hwp
ibank
ibd
ibz
ico
icxs
idl
idml
idx
ie5
ie6
ie7
ie8
ie9
iff
iif
iiq
img
incpas
indb
indd
indl
indt
info
ink
inx
ipa
iso
isu
isz
itdb
itl
itm
iwd
iwi
jac
jar
jav
java
jbc
jc
jfif
jge
jgz
jif
jiff
jnt
jpc
jpe
jpeg
jpf
jpg
jpw
js
json
jsp
just
k25
kc2
kdb
kdbx
kdc
kde
kernel_complete
kernel_pid
kernel_time
key
keybtc@inbox_com
kf
kimcilware
kkk
klq
kmz
kpdx
kraken
kratos
kwd
kwm
laccdb
lastlogin
lay
lay6
layout
lbf
lbi
lcd
lcf
lcn
ldb
ldf
lechiffre
legion
lgp
lib
lit
litemod
lngttarch2
localstorage
locked
locky
log
lol!
lp2
lpa
lrf
ltm
ltr
ltx
lua
lvivt
lvl
m
m2
m2ts
m3u
m3u8
m4a
m4p
m4u
m4v
mag
magic
man
map
mapimail
max
mbox
mbx
mcd
mcgame
mcmeta
mcrp
md
md0
md1
md2
md3
md5
mdb
mdbackup
mdc
mddata
mdf
mdl
mdn
mds
mef
menu
meo
mfw
mic
micro
mid
mim
mime
mip
mjd
mkv
mlb
mlx
mm6
mm7
mm8
mme
mml
mmw
mny
mobi
mod
moneywell
mos
mov
movie
moz
mp1
mp2
mp3
mp4
mp4v
mpa
mpe
mpeg
mpg
mpq
mpqge
mpv2
mrw
mrwref
mse
msg
msi
msp
mts
mui
mxp
myd
myi
nav
ncd
ncf
nd
ndd
ndf
nds
nef
nfo
nk2
nop
now
nrg
nri
nrw
ns2
ns3
ns4
nsd
nsf
nsg
nsh
ntl
number
nvram
nwb
nx1
nx2
nxl
nyf
oab
obj
odb
odc
odcodc
odf
odg
odi
odm
odp
ods
odt
oft
oga
ogg
oil
opd
opf
orf
ost
otg
oth
otp
ots
ott
owl
oxt
p12
p5tkjw
p7b
p7c
pab
pack
padcrypt
pages
pak
paq
pas
pat
paym
paymrss
payms
paymst
paymts
payrms
pays
pbf
pbk
pbp
pbs
pcd
pct
pcv
pdb
pdc
pdcr
pdd
pdf
pef
pem
pfx
php
pkb
pkey
pkh
pkpass
pl
plb
plc
pli
plus_muhd
pm
pmd
png
po
poar2w
pot
potm
potx
ppam
ppd
ppf
ppj
pps
ppsm
ppsx
ppt
pptm
pptx
prc
prel
prf
props
prproj
prt
ps
psa
psafe3
psd
psk
pspimage
pst
psw6
ptx
pub
purge
puz
pwf
pwi
pwm
pxp
py
pzdc
qba
qbb
qbm
qbr
qbw
qbx
qby
qcow
qcow2
qdf
qed
qel
qic
qif
qpx
qt
qtq
qtr
r00
r01
r02
r03
r3d
r5a
ra
ra2
raf
ram
rar
rat
raw
razy
rb
rdb
rdi
rdm
re4
rekt
res
result
rev
rgn
rgss3a
rim
rll
rm
rng
rofl
rokku
rpf
rrk
rrt
rsdf
rsrc
rsw
rte
rtf
rts
rtx
rum
run
rv
rvt
rw2
rwl
rwz
rzk
rzx
s3db
sad
saf
safe
sas7bdat
sav
save
say
sb
sc2save
sch
scm
scn
scx
sd0
sd1
sda
sdb
sdc
sdf
sdn
sdo
sds
sdt
search-ms
securecrypted
sef
sen
ses
sfs
sfx
sgz
sh
shar
shr
shw
shy
sid
sidd
sidn
sie
sis
sldm
sldx
slk
slm
slt
sme
snk
snp
snx
so
spd
spr
sql
sqlite
sqlite3
sqlitedb
sqllite
sqx
sr2
srf
srt
srw
ssa
st4
st5
st6
st7
st8
stc
std
sti
stm
stt
stw
stx
sud
suf
sum
surprise
svg
svi
svr
swd
swf
switch
sxc
sxd
sxg
sxi
sxm
sxw
syncdb
szf
t01
t03
t05
t12
t13
tar
tax
tax2013
tax2014
tbk
tbz2
tch
tcx
tex
text
tg
tga
tgz
thm
thmx
tif
tiff
tlg
tlz
toast
tor
torrent
tpu
tpx
trp
ts
ttt
tu
tur
txd
txf
txt
uax
udf
uea
umx
unity3d
unr
unx
uop
uot
upk
upoi
url
usa
usx
ut2
ut3
utc
utx
uu
uud
uue
uvx
uxx
val
vault
vbox
vbs
vc
vcd
vcf
vdf
vdi
vdo
venusf
ver
vfs0
vhd
vhdx
vlc
vlt
vmdk
vmf
vmsd
vmt
vmx
vmxf
vob
vp
vpk
vpp_pc
vsi
vtf
vvv
w3g
w3x
wab
wad
wallet
war
wav
wave
waw
wb2
wbk
wdgt
wflx
windows10
wks
wm
wma
wmd
wmdb
wmmp
wmo
wmv
wmx
wotreplay
wow
wpd
wpe
wpk
wpl
wps
wsh
wtd
wtf
wvx
x11
x3f
xf
xis
xl
xla
xlam
xlc
xlk
xll
xlm
xlr
xls
xlsb
xlsm
xlsx
xlt
xltm
xltx
xlv
xlw
xlwx
xml
xpi
xps
xpt
xqx
xsl
xtbl
xvid
xwd
xxe
xxx
xyz
yab
ycbcra
yenc
yml
ync
yps
yuv
z02
z04
zap
zcrypt
zepto
zip
zipx
zoo
zps
ztmp
zyklon
zzz
ドライブを検索する際、アクセスしたすべてのフォルダーに次のファイルを作成します。
Read Me Please.hta
目的のファイルを見つけたら、そのコンテンツを暗号化します。
最初の65536Bのデータを上書きします。
暗号化にはRC4のアルゴリズムが使用されます。
暗号化ファイルの名前は次のように変更されます。
%randomstring%.decryptallfiles@india.com
%randomstring%はランダムなテキストです。
ファイルを元の状態に戻すためのパスワードや手順と引き換えに、指定したアドレスに電子メールを送信するようユーザーに要求します。
次のメッセージを表示する場合があります。
