RANSOM_CRYPSHED.D
Windows
マルウェアタイプ:
トロイの木马型
破壊活动の有无:
なし
暗号化:
感染報告の有無 :
はい
? 概要
マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、特定のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。 マルウェアは、ダウンロードしたファイルを実行します。
マルウェアは、特定の奥别产サイトにアクセスし、情报を送受信します。
詳細
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
- JS_CRYPSHED.B
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %All Users Profile%\Application Data\Windows\csrss.exe (Windows XP and below)
- %All Users Profile%\Windows\csrss.exe (Windows Vista and above)
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)
マルウェアは、以下のファイルを作成します。
- %Application Data%\{8 Random Alphanumeric Characters}{Same Characters as first 8}.bmp
- %User Temp%\cached-certs
- %User Temp%\cached-microdesc-consensus
- %User Temp%\cached-microdescs.new
- %User Temp%\lock
- %User Temp%\state
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、身代金を要求する手纸として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。
- {Root Drives}\README{number 1 to 10}.txt
- %System Root%\Users\Public\Public Desktop\README{number 1 to 10}.txt (Windows Vista and Above)
- %All Users Profile%\Desktop\README{number 1 to 10}.txt (For Windows XP and Below)
- %Desktop%\README{number 1 to 10).txt
自动実行方法
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = %All Users Profile%\Application Data\Windows\csrss.exe (Windows XP and below)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = %All Users Profile%\Windows\csrss.exe (Windows Vista and above)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
pk = {PUBLIC KEY}
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
cnt = {numbers}
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
mode = 0
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
state = 5
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
i = {random characters}
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
Version = 7.2.0.3
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
pk = {PUBLIC KEY}
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
cnt = {numbers}
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
mode = 0
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
state = 3
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
i = {random characters}
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
Version = 7.2.0.3
HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
sys = 1
HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
sys = 1
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
wp = "%Application Data%\{random characters}.bmp"
(註:変更前の上记レジストリ値は、「"调耻蝉别谤-诲别蹿颈苍别诲皑"」となります。)
マルウェアは、コンピュータのデスクトップの壁纸に以下の画像を设定します。
- %Application Data%\{8 random alphanumeric characters}{Same characters as first 8}.bmp
ダウンロード活动
マルウェアは、以下の奥别产サイトからファイルをダウンロードし、ファイル名を変更した后、感染コンピュータ内に保存します。
- URLs varies based from the list received from the servers
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\{8 Random Alphanumeric Strings}.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、ダウンロードしたファイルを実行します。
情报漏えい
マルウェアは、以下の情报を収集します。
- Computer Information
- Network Information
- IP Address
- List of Logical Drives
- User Name
- OS Version
その他
マルウェアは、以下の奥别产サイトにアクセスして感染コンピュータの滨笔アドレスを収集します。
- whatismyipaddress.com
マルウェアは、以下の奥别产サイトにアクセスし、情报を送受信します。
- http://{server}/{path}
where {server} can be any of the following:- {BLOCKED}.{BLOCKED}.40.189
- {BLOCKED}.{BLOCKED}.32.5
- {BLOCKED}.{BLOCKED}.0.39
- {BLOCKED}.{BLOCKED}.21.38
- {BLOCKED}.{BLOCKED}.206.212
- {BLOCKED}.{BLOCKED}.251.203
- {BLOCKED}.{BLOCKED}.17.194
- {BLOCKED}.{BLOCKED}.244.244
- {BLOCKED}.{BLOCKED}.223.34
- {BLOCKED}.{BLOCKED}.193.9
- http://{BLOCKED}h2ldj3v.onion
- reg.php
- prog.php
- err.php
- cmd.php
- sys.php
マルウェアは、以下の拡张子をもつファイルを暗号化します。
- edml
- raw
- jpg
- jpeg
- jpe
- bmp
- png
- tif
- tiff
- dib
- gif
- svg
- svgz
- rle
- tga
- vda
- icb
- wbm
- wbmp
- jpf
- jpx
- jp2
- j2k
- j2c
- jpc
- avi
- mkv
- mov
- mp4
- wmv
- 3gp
- mpg
- mpeg
- m4v
- divx
- mpv
- m1v
- dat
- anim
- m4a
- qt
- 3g2
- f4v
- mkidx
- mka
- avs
- vdr
- flv
- bin
- mp3
- wav
- asx
- pls
- zip
- 7z
- rar
- tar
- gz
- bz2
- wim
- xz
- c
- h
- hpp
- cpp
- php
- php3
- php4
- php5
- py
- pl
- sln
- js
- json
- inc
- sql
- java
- class
- ini
- asm
- clx
- tbb
- tbi
- tbk
- pst
- dbx
- cbf
- crypted
- tib
- eml
- fld
- vbm
- vbk
- vib
- vhd
- 1cd
- dt
- cf
- cfu
- mxl
- epf
- vrp
- grs
- geo
- elf
- lgf
- lgp
- log
- st
- pff
- mft
- efd
- md
- dmp
- fdb
- lst
- fbk
- sw
- vdw
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {random characters}.better_call_saul
- {Original File Name}.los_pollos - if filename encryption fails
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。
手順 3
「RANSOM_CRYPSHED.D」 を作成またはダウンロードする不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている场合は、本手顺は行う必要はありません。)