1. Symantec/
  2. セキュリティレスポンス/
  3. Ransom.OMG
  4. Ransom.OMG
  • ブックマーク

Ransom.OMG

危険度1: ほとんど影響なし

発見日:
2014 年 3 月 3 日
更新日:
2014 年 3 月 14 日 2:37:17 AM
別名:
Trojan.Ransomcrypt.G [Symantec]
種別:
Trojan
影響を受けるシステム:
Windows
このトロイの木馬は、手動でインストールする必要があります。

このトロイの木馬は、次の拡張子を持つすべてのファイルのうち最初の 25% を暗号化して、ファイル名の拡張子に .OMG! を追加します。
  • .0??
  • .1cd
  • .3fr
  • .3gp
  • .7z
  • .?ar
  • .abk
  • .accdb
  • .adf
  • .ai
  • .arc
  • .arj
  • .arw
  • .ashbak
  • .ashdisk
  • .avi
  • .ba?
  • .backup
  • .bk?
  • .bmp
  • .bup
  • .cdr
  • .cdx
  • .cer
  • .cf
  • .cfu
  • .cr?
  • .cs?
  • .da?
  • .dbf
  • .dcr
  • .der
  • .dic
  • .divx
  • .djvu
  • .dng
  • .doc
  • .doc?
  • .dt
  • .dwg
  • .dx?
  • .e?f
  • .efd
  • .eps
  • .er?
  • .fbw
  • .fh
  • .flv
  • .frp
  • .gh?
  • .gif
  • .gzip
  • .hbi
  • .hdb
  • .htm
  • .html
  • .ifo
  • .img
  • .indd
  • .iso
  • .iv2i
  • .jpeg
  • .jpg
  • .kdc
  • .key
  • .kwm
  • .ld?
  • .m2v
  • .max
  • .md
  • .md?
  • .mef
  • .mkv
  • .mov
  • .mp4
  • .mpeg
  • .mpg
  • .mrw
  • .nba
  • .ndf
  • .nef
  • .nr?
  • .od?
  • .ol?
  • .one
  • .orf
  • .p12
  • .p7?
  • .pb?
  • .pd?
  • .pef
  • .pem
  • .pfx
  • .png
  • .pps
  • .pps?
  • .ppt
  • .ppt?
  • .psd
  • .pst
  • .ptx
  • .pwm
  • .qbw
  • .r??
  • .sco
  • .sef
  • .sk
  • .sr2
  • .srf
  • .srw
  • .tbk
  • .tc
  • .tib
  • .tif
  • .tmd
  • .txt
  • .v?
  • .v??
  • .v???
  • .wb2
  • .wbb
  • .wim
  • .wmv
  • .wpd
  • .wps
  • .x3f
  • .xl?
  • .xls?
  • .xml
  • .z?
  • .z??
  • .z???

注意: このトロイの木馬は、%Windows% 内のファイルには操作を行いません。

このトロイの木馬によって暗号化されたファイルを含むフォルダ内に、次のファイルが投下されます。
how to get data.txt

「how to get data.txt」がメモ帳で開かれ、次の内容が表示されます。


このトロイの木馬は、実行が終了すると自分自身を削除します。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Mark Anthony Balanza
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube