TROJ_CRYPTESLA.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\{Random Filename}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

• %Application Data%\log.html - Contains the list of encrypted files.
• %Desktop%\HELP_TO_SAVE_FILES.bmp
• %Desktop%\HELP_TO_SAVE_FILES.txt
• %Desktop%\Save_Files.lnk - Shortcut file pointing to the dropped copy
• %Application Data%\key.dat

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AVSvc = "%Application Data%\{Random Filename}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
AVSvc = "%Application Data%\{Random Filename}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(註：変更前の上記レジストリ値は、「{User Preferences}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(註：変更前の上記レジストリ値は、「{User Preferences}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%HELP_TO_SAVE_FILES.bmp"

(註：変更前の上記レジストリ値は、「{User Preferences}」となります。)

プロセスの終了

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

• taskmgr
• procexp
• regedit
• msconfig
• cmd.exe

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• ipinfo.io/ip

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://dpckd2ftmf7lelsa.{BLOCKED}vur33.com
• http://{BLOCKED}ftmf7lelsa.tor2web.{BLOCKED}gie.de
• http://{BLOCKED}ftmf7lelsa.tor2web.org

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• sql
• mp4
• 7z
• rar
• m4a
• wma
• avi
• wmv
• csv
• d3dbsp
• zip
• sie
• sum
• ibank
• t13
• t12
• qdf
• gdb
• tax
• pkpass
• bc6
• bc7
• bkp
• qic
• bkf
• sidn
• sidd
• mdd
• ata
• itl
• itdb
• icxs
• hvpl
• hplg
• hkdbmdbackup
• syncdb
• gho
• cas
• svg
• map
• wmo
• itm
• sb
• fos
• mov
• vdf
• ztmp
• sis
• sid
• ncf
• menu
• layout
• dmp
• blob
• esm
• vcf
• vtf
• dazip
• fpk
• mlx
• kf
• iwd
• vpk
• tor
• psk
• rim
• w3x
• fsh
• ntl
• arch00
• lvl
• snx
• cfr
• ff
• vpp_pc
• lrf
• m2
• mcmeta
• vfs0
• mpqge
• kdb
• db0
• db
• rofl
• hkx
• bar
• upk
• das
• iwi
• litemod
• asset
• forge
• ltx
• bsa
• apk
• re4
• sav
• lbf
• slm
• bik
• epk
• rgss3a
• pak
• big
• unity3d
• wotreplay
• xxx
• desc
• py
• m3u
• flv
• js
• css
• rb
• png
• jpeg
• txt
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• x3f
• srw
• pef
• ptx
• r3d
• rw2
• rwl
• raw
• raf
• orf
• nrw
• mrwref
• mef
• erf
• kdc
• dcr
• cr2
• crw
• bay
• sr2
• srf
• arw
• 3fr
• dng
• jpe
• jpg
• cdr
• indd
• ai
• eps
• pdf
• pdd
• psd
• dbf
• mdf
• wb2
• rtf
• wpd
• dxg
• xf
• dwg
• pst
• accdb
• mdb
• pptm
• pptx
• ppt
• xlk
• xlsb
• xlsm
• xlsx
• xls
• wps
• docm
• docx
• doc
• odb
• odc
• odm
• odp
• ods
• odt

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。