Ransom.MSIL.SYRK.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• C:\Users\Default\AppData\Local\Microsoft\-pw+.txt -> contains password
• C:\Users\Default\AppData\Local\Microsoft\+dp-.txt -> contains password and victim ID
• C:\Users\Default\AppData\Local\Microsoft\-i+.txt -> contains victim ID

マルウェアは、以下のファイルを作成し実行します。

• C:\Users\Public\Documents\cgo46ea565sdfse7.exe -> detected as Ransom.Win32.SYRK.A
  • used by the malware to search and encrypt files by executing a Powershell script
• C:\Users\Public\Documents\dh35s3h8d69s3b1k.exe -> detected as Trojan.Win32.SYRK.A
  • used in decrypting files, also uses a Powershell script
• C:\Users\Public\Documents\startSF.exe -> detected as Trojan.Win32.SYRK.A
  • used to move C:\Users\Public\Documents\SydneyFortniteHacks.exe to %User Startup%\SydneyFortniteHacks.exe
• C:\Users\Public\Documents\DeleteFile.exe -> detected as Trojan.Win32.SYRK.A
  • used to delete files this malware created
• C:\Users\Public\Documents\delmy.exe -> detected as Trojan.Win32.SYRK.A
  • used to delete the file: %User Startup%\SydneyFortniteHacks.exe
• C:\Users\Public\Documents\LimeUSB_Csharp.exe -> detected as Worm.MSIL.LIME.AA

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\SydneyFortniteHacks.exe

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 0

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = 0

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 1

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• C:\51875.jpg

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• Taskmgr
• Procmon64
• ProcessHacker

その他

マルウェアは、以下の画像を表示します。

• Main display:
  • 
• "Show My ID" button:
  • 
• If password input is correct and "Decrypt my Files" button is clicked:
  • 

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

• gif
• sln
• docx
• php
• psd
• ico
• mov
• xlsx
• jpg
• xls
• doc
• pdf
• wav
• pptx
• ppt
• txt
• png
• bmp
• rar
• zip
• mp3
• mp4
• avi

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• %User Profile%

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .Syrk

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\Readme_now.txt

(註：%Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。