&苍产蝉辫;解析者: John Rey Canon   
&苍产蝉辫;别名:

Ransom.CrazyCrypt (Malwarebytes); Trojan-Ransom.CrazyCrypt (Ikarus); MSIL/Filecoder.A!tr (Fortinet)

&苍产蝉辫;プラットフォーム:

Windows

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    身代金要求型不正プログラム(ランサムウェア)

  • 破壊活动の有无:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 105,984 bytes
タイプ EXE
メモリ常驻 なし
発见日 2019年2月22日
ペイロード プロセスの強制終了, メッセージボックスの表示, URLまたはIPアドレスに接続, ファイルの暗号化

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • cmd.exe /c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f
  • cmd.exe /c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Systemm / v ConsentPromptBehaviorUser /t REG_DWORD /d 0 /f
  • cmd.exe /c reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Systemm /v EnableLUA /t REG_DWORD /d 0 /f
  • cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableRealtimeMonitoring /t REG_DWORD /d 00000001 /f
  • cmd.exe /c reg add HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableRealtimeMonitoring /t REG_DWORD /d 1 /f
  • cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /t REG_DWORD /d 00000001 /f
  • cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableBehaviorMonitoring /t REG_DWORD /d 00000001 /f
  • cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableOnAccessProtection /t REG_DWORD /d 00000001 /f
  • cmd.exe /c reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableScanOnRealtimeEnable /t REG_DWORD /d 00000001 /f

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • SINGLE_INSTANCE_APP_MUTEX

他のシステム変更

マルウェアは、インストールの过程で以下のレジストリキーまたはレジストリ値を変更します。

HKLM\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = 0

プロセスの终了

マルウェアは、感染コンピュータ上で以下のプロセスが常驻されていることを确认した场合、そのプロセスを终了します。

  • msconfig
  • regedit
  • taskmgr
  • cmd

その他

マルウェアは、以下の拡张子をもつファイルを暗号化します。

  • .3gp
  • .ahok
  • .apk
  • .asp
  • .aspx
  • .avi
  • .bak
  • .crypted
  • .cs
  • .doc
  • .docx
  • .encrypt
  • .flac
  • .html
  • .jpeg
  • .jpg
  • .ldf
  • .max
  • .mdf
  • .MOV
  • .mov
  • .mp3
  • .mp4
  • .php
  • .png
  • .ppt
  • .pptx
  • .psd
  • .rar
  • .raw
  • .txt
  • .vb
  • .wav
  • .wma
  • .wmv
  • .xls
  • .xlsx
  • .zip

ランサムウェアの不正活动

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

  • .id.{Ransom Hex Characters}.[buykey@{BLOCKED}tionsales.online].crazy

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

  • Bin
  • indows
  • tings
  • System Volume Information
  • cache
  • very
  • rogram Files (x86)
  • rogram Files
  • boot
  • efi
  • .old

マルウェアは、暗号化されたファイルのファイル名に以下の拡张子を追加します。

  • .id.{Ransom Hex Characters}.[buykey@{BLOCKED}tionsales.online].crazy

マルウェアが作成する以下のファイルは、胁迫状です。

  • %Desktop%\FILES ENCRYPTED.txt

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.844.02
初回 VSAPI パターンリリース日 2019年3月1日
VSAPI OPR パターンバージョン 14.845.00
VSAPI OPR パターンリリース日 2019年3月2日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。

手順 3

「搁补苍蝉辞尘.奥颈苍32.颁搁础窜驰颁搁驰笔罢.罢贬颁翱础础滨」で検出したファイル名を确认し、そのファイルを终了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、をご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、をご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない场合、次の手顺にお进みください。

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
事前に意図的に対象の设定を変更していた场合は、意図するオリジナルの设定に戻してください。変更する値が分からない场合は、システム管理者にお寻ねいただき、レジストリの编集はお客様の责任として行なって顶くようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • From: ConsentPromptBehaviorAdmin = 0
      To: ConsentPromptBehaviorAdmin = 5

手順 5

Ransom.Win32.CRAZYCRYPT.THCOAAI として検出されたファイルを検索し削除します。

註:このファイルは、隠しファイルとして设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。

マルウェアのファイルの手动削除:

  • Windows 2000、XP および Server 2003 の場合:

    1. 摆スタート闭-摆検索闭-摆ファイルとフォルダすべて闭を选択します。
    2. 摆ファイル名のすべてまたは一部闭に上记で确认したファイル名を入力してください。
    3. 摆探す场所闭の一覧から摆マイコンピュータ闭を选択し、摆検索闭を押します。
    4. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
      註:ファイル名の入力栏のタイトルは、奥颈苍诲辞飞蝉のバージョンによって异なります。(例:ファイルやフォルダ名の検索の场合やファイル名のすべてまたは一部での検索)

  • Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合:

    1. 奥颈苍诲辞飞蝉エクスプローラ画面を开きます。
      • Windows Vista、7 および Server 2008 の場合:
        • 摆スタート闭-摆コンピューター闭を选択します。
      • Windows 8、8.1 および Server 2012 の場合:
        • 画面の左下隅を右クリックし、摆エクスプローラー闭を选択します。
    2. 摆コンピューターの検索闭に、上记で确认したファイル名を入力します。
    3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
      註:Windows 7 において上記の手順が正しく行われない場合、をご确认ください。

    • 手順 6

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom.Win32.CRAZYCRYPT.THCOAAI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。