Ransom_CRPTX.A
Windows
マルウェアタイプ:
Ransom
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
その他は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
その他は、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Application Data%\mtrea.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
その他は、以下のファイルを作成します。
- %User Startup%\decrypt.txt - ransom note
- %Desktop%\HOW_TO_FIX_!.txt - ransom note
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
自動実行方法
その他は、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Crptxxx = %Application Data%\mtrea.exe
その他
その他は、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}cojuswihof.onion
その他は、以下の拡張子をもつファイルを暗号化します。
- .264
- .3g2
- .3gp
- .3gp2
- .3gpp
- .3gpp2
- .3mm
- .3p2
- .60d
- .6cm
- .787
- .890
- .8cm
- .8svx
- .a2b
- .a2i
- .a2m
- .a2p
- .a2t
- .a52
- .aa
- .aa3
- .aac
- .aaf
- .aax
- .abc
- .abm
- .ac3
- .acd
- .acd-bak
- .acd-zip
- .acm
- .acp
- .act
- .adg
- .adts
- .adv
- .aec
- .aep
- .aepx
- .aet
- .aetx
- .afc
- .agm
- .agr
- .ahx
- .aif
- .aifc
- .aiff
- .aimppl
- .ais
- .ajp
- .akp
- .al
- .alac
- .alaw
- .ale
- .all
- .als
- .am
- .amc
- .amf
- .amr
- .ams
- .amv
- .amx
- .amxd
- .amz
- .anim
- .aob
- .ape
- .apf
- .apl
- .aqt
- .arcut
- .arf
- .aria
- .ariax
- .ase
- .asf
- .asx
- .at3
- .atrac
- .au
- .aud
- .aup
- .avastsounds
- .avb
- .avchd
- .avd
- .avi
- .avp
- .avs
- .avv
- .awb
- .awlive
- .axm
- .ay
- .b4s
- .band
- .bap
- .bcs
- .bdd
- .bdm
- .bdmv
- .bidule
- .bik
- .bin
- .bix
- .bmml
- .bnp
- .bonk
- .box
- .brstm
- .bs4
- .bsf
- .bu
- .bun
- .bvr
- .bwf
- .bwg
- .bww
- .byu
- .c01
- .caf
- .caff
- .camproj
- .camrec
- .camv
- .cda
- .cdda
- .cdlx
- .cdo
- .cdr
- .ced
- .cel
- .cfa
- .cgrp
- .cidb
- .cine
- .cip
- .ckb
- .ckf
- .clpi
- .cmf
- .cmmp
- .cmmtpl
- .copy
- .cpr
- .csh
- .cts
- .cvc
- .cwb
- .cwp
- .cwt
- .cx3
- .d00
- .d01
- .d2v
- .d3v
- .dash
- .dat
- .dav
- .dce
- .dcf
- .dck
- .dcm
- .dct
- .ddat
- .ddt
- .df2
- .dfc
- .dif
- .dig
- .dir
- .divx
- .djr
- .dls
- .dlx
- .dm
- .dmb
- .dmf
- .dmsa
- .dmsd
- .dmsd3d
- .dmse
- .dmsm
- .dmsm3d
- .dmss
- .dmx
- .dnc
- .doc
- .docx
- .dpa
- .dpg
- .dra
- .dream
- .drg
- .ds2
- .dsf
- .dsm
- .dsp
- .dss
- .dtm
- .dts
- .dtshd
- .dv
- .dv4
- .dv-avi
- .dvf
- .dvr
- .dvr-ms
- .dvx
- .dw
- .dwa
- .dwd
- .dxr
- .dzm
- .dzp
- .dzt
- .ear
- .edl
- .efa
- .efe
- .efk
- .efq
- .efs
- .efv
- .emd
- .emp
- .emx
- .emy
- .eop
- .esps
- .evo
- .evr
- .expressionmap
- .eye
- .f2r
- .f32
- .f3r
- .f4a
- .f4f
- .f4p
- .f4v
- .f64
- .far
- .fbr
- .fbz
- .fda
- .fff
- .flac
- .flc
- .flh
- .fli
- .flp
- .fls
- .flv
- .flx
- .frg
- .fsm
- .ftc
- .ftmx
- .fzf
- .g721
- .g723
- .g726
- .gbs
- .gfp
- .gig
- .gl
- .gm
- .gom
- .gp5
- .gpbank
- .gpk
- .grasp
- .groove
- .gsm
- .gts
- .gvi
- .gvp
- .h0
- .h264
- .h3b
- .h3e
- .h4b
- .h4e
- .h5b
- .h5e
- .h5s
- .hbb
- .hbs
- .hdmov
- .hdv
- .hkm
- .hma
- .hmi
- .hsb
- .iaa
- .ics
- .iff
- .ifo
- .igp
- .imf
- .imovieproject
- .imp
- .infovid
- .ins
- .ircp
- .irf
- .isma
- .ismc
- .ismv
- .it
- .iti
- .itls
- .its
- .iva
- .ivf
- .ivr
- .ivs
- .izz
- .izzy
- .jam
- .jmv
- .jo
- .jo-7z
- .jpeg
- .jpg
- .jss
- .jts
- .jtv
- .k25
- .k26
- .k3g
- .kar
- .kfn
- .kin
- .kit
- .kmp
- .kmv
- .koz
- .kpl
- .krz
- .ksc
- .ksd
- .ksf
- .ksm
- .kt2
- .kt3
- .ktp
- .l
- .la
- .lof
- .lqt
- .lrec
- .lrv
- .lsf
- .lsx
- .lvix
- .lvp
- .lwv
- .m15
- .m1a
- .m1pg
- .m1v
- .m21
- .m2a
- .m2t
- .m2ts
- .m2v
- .m3u
- .m3u8
- .m4a
- .m4b
- .m4e
- .m4p
- .m4r
- .m4u
- .m4v
- .m75
- .ma1
- .mani
- .mbr
- .mdl
- .med
- .meta
- .mgv
- .mid
- .midi
- .mini2sf
- .minincsf
- .minipsf
- .minipsf2
- .miniusf
- .mj2
- .mjp
- .mjpg
- .mk3d
- .mka
- .mkv
- .mlp
- .mmf
- .mmm
- .mmpz
- .mmv
- .mnv
- .mo3
- .mob
- .mod
- .moff
- .mogg
- .moi
- .moov
- .mov
- .movie
- .mp_
- .mp1
- .mp2
- .mp21
- .mp2v
- .mp3
- .mp4
- .mp4
- .mp4v
- .mpa
- .mpc
- .mpd
- .mpdp
- .mpe
- .mpeg
- .mpeg1
- .mpeg4
- .mpf
- .mpg
- .mpg2
- .mpga
- .mpgindex
- .mpl
- .mpls
- .mpsub
- .mpu
- .mpv
- .mpv2
- .mqv
- .mscx
- .msdvd
- .msh
- .msv
- .mswmm
- .mt2
- .mt9
- .mte
- .mti
- .mtm
- .mtp
- .mts
- .mtv
- .mu3
- .mus
- .musa
- .musx
- .mux
- .muz
- .mvb
- .mvc
- .mvd
- .mve
- .mvex
- .mvp
- .mvy
- .mws
- .mx3
- .mx4
- .mx5
- .mx5template
- .mxf
- .mxmf
- .mxv
- .myr
- .mys
- .mzp
- .nap
- .ncor
- .nkb
- .nkc
- .nki
- .nkm
- .nks
- .nkx
- .nml
- .nmsv
- .nra
- .nrt
- .nsa
- .nsf
- .nst
- .nsv
- .ntn
- .nut
- .nuv
- .nvc
- .nvf
- .nwc
- .obw
- .odm
- .ofr
- .oga
- .ogg
- .ogm
- .ogv
- .ogx
- .okt
- .oma
- .omf
- .omg
- .omx
- .opus
- .orc
- .orv
- .otrkey
- .ots
- .pac
- .par
- .pat
- .pbf
- .pca
- .pcast
- .pcg
- .pcm
- .pds
- .peak
- .pek
- .pgi
- .pho
- .photoshow
- .phy
- .piv
- .pjs
- .pjunoxl
- .pk
- .pkf
- .pla
- .playlist
- .plproj
- .pls
- .plst
- .pmf
- .pmv
- .pna
- .png
- .pno
- .ppc
- .ppcx
- .ppj
- .prel
- .prg
- .pro
- .pro4dvd
- .pro5dvd
- .proqc
- .prproj
- .prtl
- .prx
- .psf1
- .psf2
- .psh
- .psm
- .pssd
- .psy
- .ptcop
- .ptf
- .ptm
- .pts
- .pva
- .pvc
- .pvr
- .pxv
- .q1
- .q2
- .qcp
- .qt
- .r
- .r1m
- .ra
- .ram
- .raw
- .rax
- .rbs
- .rcy
- .record
- .rex
- .rfl
- .rgrp
- .rip
- .rmf
- .rmi
- .rmj
- .rmm
- .rmx
- .rng
- .rns
- .rol
- .rsf
- .rsn
- .rso
- .rta
- .rti
- .rtm
- .rts
- .rvx
- .rx2
- .s3i
- .s3m
- .s3z
- .saf
- .sam
- .sap
- .sb
- .sbg
- .sbi
- .sbk
- .sc2
- .scs11
- .sd
- .sd2
- .sd2f
- .sdat
- .sdii
- .sds
- .sdx
- .seg
- .ses
- .sesx
- .sf
- .sf2
- .sfap0
- .sfk
- .sfl
- .sfpack
- .sgp
- .shn
- .sib
- .sid
- .slx
- .smf
- .smp
- .smpx
- .snd
- .sng
- .sns
- .snsf
- .sou
- .sph
- .sppack
- .spx
- .sseq
- .ssnd
- .stm
- .stx
- .sty
- .svd
- .svx
- .sw
- .swa
- .swav
- .sxt
- .syh
- .syn
- .syw
- .syx
- .tak
- .td0
- .tfmx
- .thx
- .tm2
- .tm8
- .tmc
- .toc
- .trak
- .tsp
- .tta
- .tun
- .txw
- .u
- .u8
- .ub
- .ulaw
- .ult
- .ulw
- .uni
- .usf
- .usflib
- .ust
- .uw
- .uwf
- .v2m
- .vag
- .val
- .vap
- .vc3
- .vdj
- .vgm
- .vlc
- .vmd
- .vmf
- .vmo
- .voc
- .voi
- .vox
- .voxal
- .vpl
- .vpm
- .vpw
- .vqf
- .vrf
- .vsq
- .vyf
- .w01
- .w64
- .wav
- .wave
- .wax
- .wem
- .wfb
- .wfd
- .wfp
- .wma
- .wow
- .wpk
- .wproj
- .wrk
- .wus
- .wut
- .wv
- .wvc
- .wve
- .wwu
- .wyz
- .xbmml
- .xfs
- .xi
- .xls
- .xlsx
- .xm
- .xmf
- .xmi
- .xmz
- .xp
- .xpf
- .xrns
- .xsb
- .xsp
- .xspf
- .xt
- .xwb
- .ym
- .yookoo
- .zab
- .zpa
- .zvd
- .zvr
その他は、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original filename}.crptxxx
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Crptxxx = %Application Data%\mtrea.exe
- Crptxxx = %Application Data%\mtrea.exe
手順 4
以下のファイルを検索し削除します。
- %User Startup%\decrypt.txt - ransom note
- %Desktop%\HOW_TO_FIX_!.txt - ransom note
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Ransom_CRPTX.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください