RANSOM_CRYPRAAS.SM

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

これは、「Encryptor RaaS」と呼ばれる「Ransomware as a Service」のトレンドマイクロ製品の検出名です。マルウェアは、支払期限の設定や身代金の額を増やす機能を備えています。この新しいRaaSにより、攻撃者やサイバー犯罪者は、無料でランサムウェアを作成することができます。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の無害なファイルを作成します。

• %Desktop%\encryptor_raas_readme_liesmich.txt - ransom notes

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

情報漏えい

マルウェアは、以下の情報を収集します。

• Machine GUID

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• 3dm
• 3ds
• 3g2
• 3gp
• 7z
• abw
• accdb
• ai
• aif
• arc
• as
• asc
• asf
• ashdisc
• asm
• asp
• aspx
• asx
• aup
• avi
• bbb
• bdb
• bibtex
• bkf
• bmp
• bpn
• btd
• bz2
• cdi
• cer
• cert
• cfm
• cgi
• cpio
• cpp
• crt
• csr
• cue
• c++
• dds
• dem
• dmg
• doc
• docm
• docx
• dsb
• dwg
• dxf
• eddx
• edoc
• eml
• emlx
• eps
• epub
• fdf
• ffu
• flv
• gam
• gcode
• gho
• gif
• gpx
• gz
• hbk
• hdd
• hds
• hpp
• h++
• ics
• idml
• iff
• img
• indd
• ipd
• iso
• isz
• iwa
• j2k
• jp2
• jpf
• jpeg
• jpg
• jpm
• jpx
• jsp
• jspa
• jspx
• jst
• key
• keynote
• kml
• kmz
• lic
• lwp
• lzma
• m3u
• m4a
• m4v
• max
• mbox
• md2
• mdb
• mdbackup
• mddata
• mdf
• mdinfo
• mds
• mid
• mov
• mp3
• mp4
• mpa
• mpb
• mpeg
• mpg
• mpj
• mpp
• msg
• mso
• nba
• nbf
• nbi
• nbu
• nbz
• nco
• nes
• note
• nrg
• nri
• ods
• odt
• ogg
• ova
• ovf
• oxps
• p2i
• p65
• p7
• pages
• pct
• pdf
• pem
• phtm
• phtml
• php
• php3
• php4
• php5
• phps
• phpx
• phpxx
• pl
• plist
• pmd
• pmx
• png
• ppdf
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• ps
• psd
• pspimage
• pst
• pub
• pvm
• qcn
• qcow
• qcow2
• qt
• ra
• rar
• raw
• rm
• rtf
• sbf
• set
• skb
• slf
• sme
• smm
• spb
• sql
• srt
• ssc
• ssi
• stg
• stl
• svg
• swf
• sxw
• syncdb
• tar
• tc
• tex
• tga
• thm
• tif
• tiff
• toast
• torrent
• tpl
• ts
• txt
• vbk
• vcard
• vcd
• vcf
• vdi
• vfs4
• vhd
• vhdx
• vmdk
• vob
• wbverify
• wav
• webm
• wmb
• wpb
• wps
• xdw
• xlr
• xls
• xlsx
• xz
• yuv
• zip
• zipx

マルウェアが作成する以下の無害なファイルは、脅迫状です。

• %Desktop%\encryptor_raas_readme_liesmich.txt

マルウェアが収集する情報は以下のとおりです。

• コンピュータのGUID

マルウェアは、暗号化されたファイルを元に戻すための指示が記載された以下のWebサイトに接続します。

• https://{BLOCKED}toraveidf7.onion.to/vict?cust={value}&guid={GUID}

マルウェアは以下のドライブ内の暗号化したファイルを検索します。

• Removable
• Fixed
• Network Drives

マルウェアは、以下のファイル名のファイルの暗号化を避けます。

• encryptor_raas_readme_liesmich.txt
• wallet.dat

マルウェアは、支払期限後、身代金の額を増やしてユーザに圧力をかけます。