TROJ_CRYPAURA.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

この「身代金要求型不正プログラム（ランサムウェア）」の亜種は、マルウェアが暗号化するファイルに追加する拡張子名の一部に"ebola"を利用します。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\ebola.bmp - ransom message
• %Start Menu%\Programs\Startup\ebola.bmp - ransom message (for Windows Vista and higher)
• %User Startup%\ebola.bmp - ransom message (for Windows XP and lower)

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %Start Menu%\Programs\Startup\{malware file name}.exe - for Windows Vista and higher
• %User Startup%\{malware file name}.exe - for Windows XP and lower

(註：%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer name
• Machine GUID

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}rotect.info/donbass/script.php
• http://{BLOCKED}rotect.info/lugansk/script.php

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• 1cd
• 3gp
• 7z
• arj
• avi
• bak
• cdr
• cer
• cpt
• csv
• db3
• dbf
• doc
• docx
• dt
• dwg
• gzip
• jpeg
• jpg
• key
• m2v
• mdb
• mkv
• mov
• mpeg
• ods
• odt
• pdf
• ppsx
• pptx
• ppt
• pwm
• rar
• raw
• rtf
• temp
• tib
• wab
• xls
• xlsx
• zip

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {original file name and extension}.id-{id}_help@antivirusebola.com

マルウェアは、実行後、自身を削除します。

マルウェアが作成する以下のファイルは、脅迫状です。

• %Application Data%\ebola.bmp

マルウェアが作成する以下のファイルは、脅迫状です。

• %Start Menu%\Programs\Startup\ebola.bmp (Windows Vista以上)

マルウェアが作成する以下のファイルは、脅迫状です。

• %User Startup%\ebola.bmp (Windows XP以下)

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %Start Menu%\Programs\Startup\{malware file name}.exe (Windows Vista以上)
• %User Startup%\{malware file name}.exe(Windows XP以下)

マルウェアが収集する情報は以下のとおりです。

• コンピュータ名
• コンピュータのGUID

マルウェアは、起動時に毎回以下のメッセージを表示する可能性があります。

マルウェアは、以下のドライブを検索し、ファイルを暗号化します。

• c:\
• d:\
• e:\
• f:\
• g:\
• h:\
• i:\
• j:\
• k:\
• l:\
• m:\
• n:\
• o:\
• q:\
• r:\
• s:\
• t:\
• u:\
• v:\
• w:\
• x:\
• y:\
• z:\

マルウェアは、以下のフォルダに存在するファイルは暗号化しません。

• Program Data
• Program Files
• Program Files (x86)
• Windows