RANSOM_CRYPAURA.F

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\recovery.bmp - ransom message
• %Start Menu%\Programs\Startup\recovery.bmp - ransom message (for Windows Vista and higher)
• %User Startup%\recovery.bmp - ransom message (for Windows XP and lower)

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のファイルを作成し実行します。

• {malware path}\cleen.bat - this will be deleted together with the inittally executed copy of the malware

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %Start Menu%\Programs\Startup\{malware file name}.exe - for Windows Vista and higher
• %User Startup%\{malware file name}.exe - for Windows XP and lower

(註：%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(註：変更前の上記レジストリ値は、「{user preference}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Application Data%\recovery.bmp"

(註：変更前の上記レジストリ値は、「{user preference}」となります。)

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer name
• Machine GUID

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}ma.lt/script.php

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .jpg
• .jpeg
• .doc
• .rtf
• .xls
• .zip
• .db3
• .rar
• .7z
• .3gp
• .cdr
• .raw
• .cpt
• .m2v
• .gzip
• .docx
• .pdf
• .odt
• .avi
• .mkv
• .ods
• .arj
• .cer
• .mdb
• .csv
• .mpeg
• .mov
• .ppt
• .orf
• .nrw
• .nx1
• .nbd
• .old
• .odb
• .odc
• .sldprt
• .wps
• .sldasm
• .sbs
• .p12
• .rx2
• .rwl
• .r3d
• .qic
• .odp
• .pz3
• .ptx
• .pst
• .txt
• .pptm
• .pef
• .x3f
• .tbl
• .tis
• .srw
• .srf
• .sr2
• .spf
• .sna
• .sn1
• .gho
• .gbk
• .iv2i
• .keystore
• .ldf
• .m3d
• .max
• .fbf
• .fdb
• .fbk
• .fbw
• .fbx
• .bak
• .bkf
• .bck
• .cf
• .erf
• .as4
• .asm
• .asvx
• .ate
• .bac
• .73b
• .a3d
• .abf
• .abk
• .accdb
• .113
• .xlsm
• .xlsk
• .xlsb
• .dwg
• .tib
• .pwm
• .wab
• .key
• .dt
• .ppsx
• .pptx
• .xlsx
• .1cd
• .dbf
• .mp3
• .prproj
• .ai
• .iso
• .ots
• .emlx
• .svg
• .aep
• .pps
• .flv
• .ofx
• .wmv
• .vob
• .swf
• .accdt
• .xml
• .qif
• .mp4
• .qt
• .xlr
• .db
• .pdb
• .sql
• .dxf
• .ost
• .pab
• .msg
• .QBW
• .QBB
• .QBM
• .OFX
• .QBO
• .QFX
• .QIF
• .epub
• .azw4
• .mobi
• .odf
• .djvu
• .fb2

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {original file name and extension}.id-{victim ID}_email1_sos@{BLOCKED}files.com_email2_zuza@{BLOCKED}mail.com_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn

マルウェアは、実行後、自身を削除します。