TROJ_CRYPCTB.TVQ
Trojan.Cryptolocker.E (Symantec); Troj/Ransom-AXN (Sophos); Ransom:Win32/Critroni.B (Microsoft); Trojan-Ransom.NSIS.Onion.ahn (Kaspersky); Win32/Filecoder.DA (ESET-NOD32)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %User Temp%\{random filename}.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のファイルを作成します。
- %ProgramData%\{randomly selected folder}\{random filename} (for Windows Vista and above)
- %All Users Profile%\Application Data\{randomly selected folder}\{random filename} (for Windows XP and below)
- %All Users profile%\{random filename}.html (for Windows Vista and above)
- %ProgramData%\{random filename}.html (for Windows Vista and above)
- %All Users Profile%\Application Data\{random filename}.html (for Windows XP and below)
- %User Profile%\Documents\!Decrypt-All-Files-{random letters}.bmp (for Windows Vista and above)
- %User Profile%\Documents\!Decrypt-All-Files-{random letters}.txt (for Windows Vista and above)
- %User Profile%\My Documents\!Decrypt-All-Files-{random letters}.bmp (for Windows XP and below)
- %User Profile%\My Documents\!Decrypt-All-Files-{random letters}.txt (for Windows XP and below)
- %User Temp%\icn-cir-cheggstudy-48x48.png
- %User Temp%\tinagundakelaeka.jpg
- %User Temp%\17 Under The Influence.mp3
- %User Temp%\ns{random characters}.tmp
- %User Temp%\ns{random characters}.tmp\catalogues.dll
- %Temp%\icn-cir-cheggstudy-48x48.png
- %Temp%\tinagundakelaeka.jpg
- %Temp%\17 Under The Influence.mp3
- %Temp%\ns{random characters}.tmp
- %Temp%\ns{random characters}.tmp\catalogues.dll
(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
自動実行方法
マルウェアは、以下のファイルを作成します。
- %System%\Tasks\{random filename} (for Windows Vista and above)
- %Windows%\Tasks\{random filename}.job (for Windows XP and below)
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\{Documents or My Documents}\!Decrypt-All-Files-{random letters}.bmp"
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}vfnw4wp4.onion.cab
- http://{BLOCKED}vfnw4wp4.tor2web.org
- http://{BLOCKED}mvfnw4wp4.onion.lt
- http://{BLOCKED}mvfnw4wp4.onion.gq
- http://{BLOCKED}mvfnw4wp4.tor2web.fi
- http://{BLOCKED}mvfnw4wp4.tor2web.{BLOCKED}gie.de