TROJ_CRYPCTB.J
VirTool:Win32/CeeInject.gen!KK (Microsoft), Trojan.Win32.Inject.tpsl (Kaspersky), a variant of Win32/Injector.BRCN trojan (ESET)
Windows
マルウェアタイプ:
トロイの木马型
破壊活动の有无:
なし
暗号化:
はい
感染報告の有無 :
はい
? 概要
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Profile%\My Documents\Decrypt All Files {random characters}.bmp - image used as wallpaper
- %User Profile%\My Documents\Decrypt All Files {random characters}.txt - ransom note in text file
- %User Profile%\My Documents\{random characters}.html - contains ransom note and list of encrypted files
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\{random filename}.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
自动実行方法
マルウェアは、以下のファイルを作成します。
- C:\Windows\Tasks\{random filename}.job
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\My Documents\Decrypt All Files {random characters}.bmp"
(註:変更前の上记レジストリ値は、「调耻蝉别谤-诲别蹿颈苍别诲皑」となります。)
その他
マルウェアは、以下の拡张子をもつファイルを暗号化します。
- pwm
- kwm
- safe
- groups
- txt
- cer
- crt
- der
- pem
- doc
- docm
- docx
- rtf
- xlk
- xls
- xlsb
- xlsm
- xlsx
- mdb
- mdf
- dbf
- db
- sql
- md
- dd
- dds
- jpe
- jpg
- jpeg
- cr2
- raw
- rw2
- rwl
- dwg
- dxf
- dxg
- psd
- 3fr
- accdb
- ai
- arw
- bay
- blend
- cdr
- crw
- dcr
- dng
- eps
- erf
- indd
- kdc
- mef
- mrw
- nef
- nrw
- odb
- odm
- odp
- ods
- odt
- orf
- p12
- p7b
- p7c
- pdd
- pef
- pfx
- ppt
- pptm
- pptx
- pst
- ptx
- r3d
- raf
- srf
- srw
- wb2
- vsd
- wpd
- wps
- 7z
- zip
- rar
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。
手順 3
このマルウェアのパス名およびファイル名を确认します。
最新のバージョン(エンジン、パターンファイル)を导入したウイルス対策製品を用いてウイルス検索を実行してください。「罢搁翱闯冲颁搁驰笔颁罢叠.闯」で検出したパス名およびファイル名を确认し、メモ等をとってください。
手順 4
奥颈苍诲辞飞蝉をセーフモードで再起动します。
手順 5
以下のファイルを検索し削除します。
- %User Profile%\My Documents\Decrypt All Files {random characters}.bmp
- %User Profile%\My Documents\Decrypt All Files {random characters}.txt
- %User Profil%\My Documents\{random characters}.html
- %Windows%\Tasks\{random filename}.job
手順 6
変更されたレジストリ値を修正します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
事前に意図的に対象の设定を変更していた场合は、意図するオリジナルの设定に戻してください。変更する値が分からない场合は、システム管理者にお寻ねいただき、レジストリの编集はお客様の责任として行なって顶くようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_CURRENT_USER\Control Panel\Desktop
- From: Wallpaper = "%User Profile%\My Documents\Decrypt All Files {random characters}.bmp"
To: Wallpaper = "{user-defined}"
- From: Wallpaper = "%User Profile%\My Documents\Decrypt All Files {random characters}.bmp"
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_CRYPCTB.J」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。