&苍产蝉辫;解析者: RonJay Kristoffer Caragay   
&苍产蝉辫;别名:

Ransom:Win32/Teerac (Microsoft); Trojan-Ransom.Win32.Cryptolocker.cg (Kaspersky); Trojan-Ransom.Win32.Cryptolocker (Ikarus); Win32/Filecoder.DI (ESET-NOD32)

&苍产蝉辫;プラットフォーム:

Windows

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, Eメールを介したスパム活動

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定の奥别产サイトにアクセスし、情报を送受信します。

  詳細

ファイルサイズ 457,216 bytes
タイプ EXE
メモリ常驻 はい
発见日 2014年10月16日
ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\{random 8 letters}.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のファイルを作成します。

  • %All Users Profile%\Application Data\{random folder name}\00000000
  • %All Users Profile%\Application Data\{random folder name}\01000000 ← encrypted copy of itself
  • %All Users Profile%\Application Data\{random folder name}\02000000
  • %All Users Profile%\Application Data\{random folder name}\03000000 ← encrypted copy of ransom note
  • %All Users Profile%\Application Data\{random folder name}\04000000

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

マルウェアは、以下のプロセスを追加します。

  • explorer.exe

マルウェアは、以下のプロセスにコードを组み込みます。

  • created explorer.exe

自动実行方法

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "%Windows%\{random 8 letters}.exe"

情报漏えい

マルウェアは、以下の情报を収集します。

  • Machine GUID
  • Computer name

その他

マルウェアは、以下の奥别产サイトにアクセスし、情报を送受信します。

  • http://{BLOCKED}pics.ru/topic.php

マルウェアは、以下の拡张子をもつファイルを暗号化します。

  • wb2
  • psd
  • p7c
  • p7b
  • p12
  • pfx
  • pem
  • crt
  • cer
  • der
  • pl
  • py
  • lua
  • css
  • js
  • asp
  • php
  • incpas
  • asm
  • hpp
  • h
  • cpp
  • c
  • 7z
  • zip
  • rar
  • drf
  • blend
  • apj
  • 3ds
  • dwg
  • sda
  • ps
  • pat
  • fxg
  • fhd
  • fh
  • dxb
  • drw
  • design
  • ddrw
  • ddoc
  • dcs
  • csl
  • csh
  • cpi
  • cgm
  • cdx
  • cdrw
  • cdr6
  • cdr5
  • cdr4
  • cdr3
  • cdr
  • awg
  • ait
  • ai
  • agd1
  • ycbcra
  • x3f
  • stx
  • st8
  • st7
  • st6
  • st5
  • st4
  • srw
  • srf
  • sr2
  • sd1
  • sd0
  • rwz
  • rwl
  • rw2
  • raw
  • raf
  • ra2
  • ptx
  • pef
  • pcd
  • orf
  • nwb
  • nrw
  • nop
  • nef
  • ndd
  • mrw
  • mos
  • mfw
  • mef
  • mdc
  • kdc
  • kc2
  • iiq
  • gry
  • grey
  • gray
  • fpx
  • fff
  • exf
  • erf
  • dng
  • dcr
  • dc2
  • crw
  • craw
  • cr2
  • cmt
  • cib
  • ce2
  • ce1
  • arw
  • 3pr
  • 3fr
  • mpg
  • jpeg
  • jpg
  • mdb
  • sqlitedb
  • sqlite3
  • sqlite
  • sql
  • sdf
  • sav
  • sas7bdat
  • s3db
  • rdb
  • psafe3
  • nyf
  • nx2
  • nx1
  • nsh
  • nsg
  • nsf
  • nsd
  • ns4
  • ns3
  • ns2
  • myd
  • kpdx
  • kdbx
  • idx
  • ibz
  • ibd
  • fdb
  • erbsql
  • db3
  • dbf
  • db-journal
  • db
  • cls
  • bdb
  • al
  • adb
  • backupdb
  • bik
  • backup
  • bak
  • bkp
  • moneywell
  • mmw
  • ibank
  • hbk
  • ffd
  • dgc
  • ddd
  • dac
  • cfp
  • cdf
  • bpw
  • bgt
  • acr
  • ac2
  • ab4
  • djvu
  • pdf
  • sxm
  • odf
  • std
  • sxd
  • otg
  • sti
  • sxi
  • otp
  • odg
  • odp
  • stc
  • sxc
  • ots
  • ods
  • sxg
  • stw
  • sxw
  • odm
  • oth
  • ott
  • odt
  • odb
  • csv
  • rtf
  • accdr
  • accdt
  • accde
  • accdb
  • sldm
  • sldx
  • ppsm
  • ppsx
  • ppam
  • potm
  • potx
  • pptm
  • pptx
  • pps
  • pot
  • ppt
  • xlw
  • xll
  • xlam
  • xla
  • xlsb
  • xltm
  • xltx
  • xlsm
  • xlsx
  • xlm
  • xlt
  • xls
  • xml
  • dotm
  • dotx
  • docm
  • docx
  • dot
  • doc
  • txt

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

  • {original file name and extension}.encrypted

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.216.08
初回 VSAPI パターンリリース日 2014年10月16日
VSAPI OPR パターンバージョン 11.217.00
VSAPI OPR パターンリリース日 2014年10月16日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。

手順 3

奥颈苍诲辞飞蝉をセーフモードで再起动します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

?
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • {random letters} = "%Windows%\{random 8 letters}.exe"

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %All Users Profile%\Application Data\{random folder name}\00000000
  • %All Users Profile%\Application Data\{random folder name}\01000000
  • %All Users Profile%\Application Data\{random folder name}\02000000
  • %All Users Profile%\Application Data\{random folder name}\03000000
  • %All Users Profile%\Application Data\{random folder name}\04000000
  • DECRYPT_INSTRUCTIONS.html

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_CRILOCK.YNG」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


関连ブログ记事