Trend Micro Security

RANSOM_CRYPTESLA.YSIM

2015年11月2日
 解析者: Mar Philip Elaurza   
 別名:

Ransom:Win32/Tescrypt!rfn (Microsoft), Ransom.FileCryptor (Malwarebytes)Trojan/Win32.Teslacrypt (AhnLab-V3)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Internet Explorer(IE)のゾーン設定を変更します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 409,600 bytes
タイプ EXE
メモリ常駐 なし
発見日 2015年11月2日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

  • %Application Data%\{5 random letters}-a.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
askjhfaskewrtewtertwert123 = %Application Data%\{5 random letters}-a.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\zsys

HKEY_CURRENT_USER\Software\{installation ID}

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnabledLinkConnections = 1

HKEY_CURRENT_USER\Software\{installation ID}
data = {encryption information}

HKEY_CURRENT_USER\Software\zsys
ID = {installation ID}

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Profile%\Documents\recover_file_{random letters}.txt
  • %Desktop%\howto_recover_file_{random letters}.txt
  • %Desktop%\howto_recover_file_{random letters}.html
  • %Desktop%\howto_recover_file_{random letters}.bmp

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://myexternalip.com/raw

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}control.com/exporterofgiftitems.com/wp-admin/misc.php?{data}
  • http://{BLOCKED}cam.com/wp-content/themes/twentythirteen/misc.php?{data}
  • http://{BLOCKED}hthaidieplonghong.com.vn/misc.php?{data}
  • http://{BLOCKED}tfilma.com/modules/misc.php?{data}
  • http://{BLOCKED}mfort.com/modules/misc.php?{data}
  • http://{BLOCKED}nect.it/misc.php?{data}

マルウェアは、以下のファイルを開きます。

  • dropped %Desktop%\howto_recover_file_{random letters}.txt
  • dropped %Desktop%\howto_recover_file_{random letters}.html
  • dropped %Desktop%\howto_recover_file_{random letters}.bmp

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。