&苍产蝉辫;解析者: Rhena Inocencio   
&苍产蝉辫;别名:

Trojan-Ransom.Win32.Cryptodef.kh (Kaspersky)

&苍产蝉辫;プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

身代金要求型マルウェア(ランサムウェア)「颁搁驰笔奥础尝尝」は、ストレージサービス「顿谤辞辫产辞虫」へのリンクからダウンロードされる可能性があります。このリンクは、ボイスメール付きスパムメール内で确认されました。

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、感染コンピュータ上の特定の情报を収集します。

マルウェアは、特定の奥别产サイトにアクセスし、情报を送受信します。

  詳細

ファイルサイズ 152,064 bytes
タイプ EXE
メモリ常驻 はい
発见日 2014年6月11日
ペイロード 情報収集, システムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

  • https://www.dropbox.com/{BLOCKED}l/{BLOCKED}0aCI6ICIiLCAidGVzdF9saW5rIjogZmFsc2UsICJzZXJ2ZXIiOiAiZGwuZHJvcGJveHVzZXJjb250ZW50LmNvbSIsICJpdGVtX2lkIjogbnVsbCwgImlzX2RpciI6IGZhbHNlLCAidGtleSI6ICI1MHhpbmZzNzYzYXpsM3YifQ/AAMN9nJxM2drNQsYQyYRtRw1e_0u5PNyEahGPaIbnZu3iA

インストール

マルウェアは、以下のファイルを作成します。

  • %Desktop%\DECRYPT_INSTRUCTION.TXT
  • %Desktop%\DECRYPT_INSTRUCTION.HTML
  • %Desktop%\DECRYPT_INSTRUCTION.URL
  • %User Startup%\DECRYPT_INSTRUCTION.TXT
  • %User Startup%\DECRYPT_INSTRUCTION.HTML
  • %User Startup%\DECRYPT_INSTRUCTION.URL

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\デスクトップ" です。. %User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%{7 characters from UID}\{7 characters from UID}.exe
  • %Application Data%\{7 characters from UID}.exe
  • %User Startup%\{7 characters from UID}.exe

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)

マルウェアは、以下のフォルダを作成します。

  • %System Root%\{7 characters from UID}

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自动実行方法

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%{7 characters from UID}\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}\
CRYPTLIST

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{UID}\
CRYPTLIST\{Path of encrypted file}
{Filename of encrypted file} = ""

情报漏えい

マルウェアは、感染コンピュータ上の以下の情报を収集します。

  • Unique Identifier (UID)
  • Machine Screenshot

その他

マルウェアは、以下の奥别产サイトにアクセスし、情报を送受信します。

  • http://{BLOCKED}welcome.com/{random alphanumeric characters}

マルウェアが収集する情报は、以下のとおりです。

  • Unique Identification Number(UID)
  • コンピュータのスクリーンショット

マルウェアは、暗号化后、すべてのフォルダに以下のファイルを作成します。

  • DECRYPT_INSTRUCTION.TXT
  • DECRYPT_INSTRUCTION.HTML
  • DECRYPT_INSTRUCTION.URL

マルウェアは、データベース関連、Web関連、Microsoft Office関連、動画、画像、スクリプト、テキストのファイルおよび他の非バイナリファイルを暗号化します。

マルウェアは、作成された身代金を要求する註を含む"顿贰颁搁驰笔罢冲滨狈厂罢搁鲍颁罢滨翱狈.罢齿罢"を开きます。

マルウェアは、以下のページを表示し、ファイルを復号する方法を指示します。

マルウェアは、復号化サービス利用のために支払を要求します。

  対応方法

対応検索エンジン: 9.700
VSAPI OPR パターンバージョン 10.855.00
VSAPI OPR パターンリリース日 2014年6月11日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

このマルウェアのパス名およびファイル名を确认します。
最新のバージョン(エンジン、パターンファイル)を导入したウイルス対策製品を用いてウイルス検索を実行してください。「罢搁翱闯冲颁搁驰笔奥础尝尝.顿」で検出したパス名およびファイル名を确认し、メモ等をとってください。

手順 3

奥颈苍诲辞飞蝉をセーフモードで再起动します。

[ 詳細 ]

手順 4

不明なレジストリ値を削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_CURRENT_USER\Software
    • {UID}

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %System Root%\{random name}

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %Desktop%\DECRYPT_INSTRUCTION.TXT
  • %Desktop%\DECRYPT_INSTRUCTION.HTML
  • %Desktop%\DECRYPT_INSTRUCTION.URL
  • %User Startup%\DECRYPT_INSTRUCTION.TXT
  • %User Startup%\DECRYPT_INSTRUCTION.HTML
  • %User Startup%\DECRYPT_INSTRUCTION.URL
  • {Folder Path and Name}\DECRYPT_INSTRUCTION.TXT
  • {Folder Path and Name}\DECRYPT_INSTRUCTION.HTML
  • {Folder Path and Name}\DECRYPT_INSTRUCTION.URL

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_CRYPWALL.D」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。