解析者: Janus Agcaoili   

 別名:

Ransom.CTBLocker (Malwarebytes), Ransom:Win32/Critroni!rfn (Microsoft), Win32/Filecoder.CTBLocker.A (ESET-NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

  詳細

ファイルサイズ 832,514 bytes
タイプ EXE
発見日 2016年3月12日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Temp%\{random filename}.exe

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

マルウェアは、以下のファイルを作成します。

  • %My Documents%\!Decrypt-All-Files-{7 random characters}.txt
  • %My Documents%\!Decrypt-All-Files-{7 random characters}.bmp

    (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

  • %All Users Profile%\{random characters}.html

    (Note: %All Users Profile% is usually C:\Documents and Settings\All Users on Windows 2000, XP, and Server 2003, or C:\Users\All Users on Windows Vista and 7.)

  • %System Root%\{randomly selected path}\!Decrypt-All-Files-{7 random characters}.txt
  • %System Root%\{randomly selected path}\!Decrypt-All-Files-{7 random characters}.bmp
  • %Tasks%\{random filename}

    (Note: %Tasks% is usually C:\Windows\Tasks on Windows XP and below, or C:\Windows\system32\Tasks on Windows Vista and above)

(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。

  • %User Startup%\system.pif - malware copy

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

マルウェアは、以下のファイルを改変します。

  • It encrypts files and appends the extension .{7 random characters} to the encrypted files.
    Example sample.txt.qwkooom

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%My Documents%\!Decrypt-All-Files-{7 random characters}.bmp"

(註:変更前の上記レジストリ値は、「{user-defined}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(註:変更前の上記レジストリ値は、「{user-defined}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(註:変更前の上記レジストリ値は、「{user-defined}」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}aew3e7ao3q.onion.cab
  • http://{BLOCKED}aew3e7ao3q.onion.lt
  • http://{BLOCKED}aew3e7ao3q.onion.gq
  • http://{BLOCKED}aew3e7ao3q.tor2web.org
  • http://{BLOCKED}aew3e7ao3q.tor2web.fi
  • http://{BLOCKED}ew3e7ao3q.tor2web.blutmagie.de