RANSOM_CRYPHYDRA.USVNB16
Ransom:Win32/Tobfy.X (Microsoft); Trojan-Spy.Win32.BitWall.qd (Kaspersky); Trojan horse Crypt5.AIVT (AVG)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- {path of the executed malware}\README_DECRYPT_HYDRA_ID_{random ID}.txt
- {path of the executed malware}\README_DECRYPT_HYDRA_ID_{random ID}.jpg
- {encrypted file path}\{original filename}.hydracrypttmp_ID_{random ID} -> deleted after encrypting the target file
マルウェアは、以下のフォルダを作成します。
- %Application Data%\MicrosoftSetings
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Internet Explorer Update = "{path of executed malware\{malware filename}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MicrosoftSettingsStart = "%Application Data%\MicrosoftSetings\{random filename}.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows
MicrosoftStarts = {path of the executed malware}\{malware filename}.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows
MicrosoftUpd32 = {random}
HKEY_CURRENT_USER\Software\Microsoft\
Windows
MicrosoftRandomAdress = {random filename}.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows
MicrosoftSettiings = {path of the executed malware}\{malware filename}.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{ID}\1.0
(Default) = Active DS Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{ID}\1.0\
0\win32
(Default) = %System%\activeds.tlb
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{ID}\1.0\
FLAGS
(Default) = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{ID}\1.0\
HELPDIR
(Default) = %System%
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{GUID}\ProxyStubClsid
(Default) = {random ID}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{GUID}\ProxyStubClsid32
(Default) = {random ID}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{GUID}\TypeLib
(Default) = {ID}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{GUID}\TypeLib
Version = 1.0
ダウンロード活動
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %Application Data%\MicrosoftSetings\{random filename}.exe
- %Application Data%\MicrosoftSetings\{random filename}.jpg
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
その他
マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- http://www.google.com
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}moneys.com/img.jpg
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .3dm
- .3ds
- .3g2
- .3gp
- .7z
- .ab4
- .accdb
- .accde
- .accdr
- .accdt
- .ach
- .act
- .adb
- .ads
- .ai
- .ait
- .al
- .apj
- .arw
- .asf
- .asm
- .asp
- .asx
- .avi
- .back
- .bank
- .bay
- .bgt
- .bik
- .bkf
- .bkp
- .blend
- .bpw
- .c
- .cdb
- .cdf
- .cdr
- .cdx
- .ce1
- .ce2
- .cer
- .cfp
- .cgm
- .class
- .cls
- .cmt
- .cnv
- .cpi
- .cpp
- .cr2
- .craw
- .crt
- .crw
- .cs
- .csh
- .csl
- .csv
- .dac
- .db
- .db3
- .dbf
- .dbr
- .dbs
- .dc2
- .dcr
- .dcs
- .dcx
- .ddd
- .ddoc
- .dds
- .der
- .des
- .design
- .dgc
- .djvu
- .dng
- .doc
- .docm
- .docx
- .dot
- .dotm
- .dotx
- .drf
- .drw
- .dtd
- .dwg
- .dxb
- .dxf
- .dxg
- .ebd
- .edb
- .eml
- .eps
- .erf
- .exf
- .fdb
- .ffd
- .fff
- .fh
- .fhd
- .fla
- .flac
- .flv
- .fm
- .fp7
- .fpx
- .fxg
- .gdb
- .gray
- .grey
- .grw
- .gry
- .h
- .hbk
- .hpp
- .ibd
- .idx
- .iif
- .indd
- .java
- .jpe
- .jpeg
- .jpg
- .kdbx
- .kdc
- .key
- .laccdb
- .lua
- .m
- .m4v
- .maf
- .mam
- .maq
- .mar
- .maw
- .max
- .mdb
- .mdc
- .mde
- .mdf
- .mdt
- .mef
- .mfw
- .mmw
- .mos
- .mov
- .mp3
- .mp4
- .mpg
- .mpp
- .mrw
- .mso
- .myd
- .ndd
- .nef
- .nk2
- .nrw
- .ns2
- .ns3
- .ns4
- .nsd
- .nsf
- .nsg
- .nsh
- .nwb
- .nx1
- .nx2
- .nyf
- .obj
- .odb
- .odc
- .
- .odf
- .odg
- .odm
- .odp
- .ods
- .odt
- .oil
- .one
- .orf
- .otg
- .oth
- .otp
- .ots
- .ott
- .p12
- .p7b
- .p7c
- .pages
- .pas
- .pat
- .pbo
- .pcd
- .pct
- .pdd
- .pef
- .pem
- .pfx
- .php
- .pip
- .pl
- .plc
- .pot
- .potm
- .potx
- .ppam
- .pps
- .ppsm
- .ppsx
- .ppt
- .pptm
- .pptx
- .prf
- .ps
- .psafe3
- .psd
- .pspimage
- .ptx
- .pub
- .puz
- .py
- .qba
- .qbw
- .r3d
- .raf
- .rar
- .rat
- .raw
- .rdb
- .rm
- .rtf
- .rwz
- .sas7bdat
- .say
- .sd0
- .sda
- .sdf
- .snp
- .sql
- .sr2
- .srf
- .srt
- .srw
- .st4
- .st5
- .st6
- .st7
- .st8
- .stc
- .std
- .sti
- .stw
- .stx
- .svg
- .swf
- .sxc
- .sxd
- .sxg
- .sxi
- .sxm
- .sxw
- .tex
- .tga
- .thm
- .txt
- .vob
- .vsd
- .vsx
- .vtx
- .wav
- .wb2
- .wdb
- .wll
- .wmv
- .wpd
- .wps
- .x11
- .x3f
- .xla
- .xlam
- .xlb
- .xlc
- .xll
- .xlm
- .xlr
- .xls
- .xlsb
- .xlsm
- .xlsx
- .xlt
- .xltm
- .xltx
- .m4a
- .wma
- .d3dbsp
- .xlw
- .xpp
- .xsn
- .yuv
- .zip
- .zip
- .sie
- .unrec
- .scan
- .sum
- .t13
- .t12
- .qdf
- .tax
- .pkpass
- .bc6
- .bc7
- .sidn
- .sidd
- .mddata
- .itl
- .itdb
- .icxs
- .hvpl
- .hplg
- .hkdb
- .mdbackup
- .syncdb
- .gho
- .cas
- .map
- .wmo
- .itm
- .sb
- .fos
- .mov
- .vdf
- .ztmp
- .sis
- .sid
- .ncf
- .menu
- .layout
- .dmp
- .blob
- .esm
- .vcf
- .vtf
- .dazip
- .fpk
- .mlx
- .kf
- .iwd
- .vpk
- .tor
- .psk
- .rim
- .w3x
- .fsh
- .ntl
- .arch00
- .lvl
- .snx
- .cfr
- .ff
- .vpp_pc
- .lrf
- .m2
- .mcmeta
- .vfs0
- .mpqge
- .kdb
- .db0
- .dba
- .rofl
- .hkx
- .bar
- .upk
- .das
- .iwi
- .litemod
- .asset
- .forge
- .ltx
- .bsa
- .apk
- .re4
- .lbf
- .gif
- .mcl
- .ini
- .mte
- .cfg
- .mp3
- .qbi
- .qbr
- .cnt
- .v30
- .qbo
- .lgb
- .qwc
- .qbp
- .aif
- .1pa
- .qpd
- .set
- .nd
- .rtp
- .qbwin
- .log
- .qbbackup
- .tmp
- .temp1234
- .qbt
- .qbsdk
- .syncmanagerlogger
- .ecml
- .qsm
- .qss
- .qst
- .fx0
- .fx1
- .mx0
- .fpx
- .fxr
- .fim
- .3DM
- .3DS
- .3G2
- .3GP
- .7Z
- .AB4
- .ACCDB
- .ACCDE
- .ACCDR
- .ACCDT
- .ACH
- .ACT
- .ADB
- .ADS
- .AI
- .AIT
- .AL
- .APJ
- .ARW
- .ASF
- .ASM
- .ASP
- .ASX
- .AVI
- .BACK
- .BANK
- .BAY
- .BGT
- .BIK
- .BKF
- .BKP
- .BLEND
- .BPW
- .C
- .CDB
- .CDF
- .CDR
- .CDX
- .CE1
- .CE2
- .CER
- .CFP
- .CGM
- .CLASS
- .CLS
- .CMT
- .CNV
- .CPI
- .CPP
- .CR2
- .CRAW
- .CRT
- .CRW
- .CS
- .CSH
- .CSL
- .CSV
- .DAC
- .DB
- .DB3
- .DBF
- .DBR
- .DBS
- .DC2
- .DCR
- .DCS
- .DCX
- .DDD
- .DDOC
- .DDS
- .DER
- .DES
- .DESIGN
- .DGC
- .DJVU
- .DNG
- .DOC
- .DOCM
- .DOCX
- .DOT
- .DOTM
- .DOTX
- .DRF
- .DRW
- .DTD
- .DWG
- .DXB
- .DXF
- .DXG
- .EBD
- .EDB
- .EML
- .EPS
- .ERF
- .EXF
- .FDB
- .FFD
- .FFF
- .FH
- .FHD
- .FLA
- .FLAC
- .FLV
- .FM
- .FP7
- .FPX
- .FXG
- .GDB
- .GRAY
- .GREY
- .GRW
- .GRY
- .H
- .HBK
- .HPP
- .IBD
- .IDX
- .IIF
- .INDD
- .JAVA
- .JPE
- .JPEG
- .JPG
- .KDBX
- .KDC
- .KEY
- .LACCDB
- .LUA
- .M
- .M4V
- .MAF
- .MAM
- .MAQ
- .MAR
- .MAW
- .MAX
- .MDB
- .MDC
- .MDE
- .MDF
- .MDT
- .MEF
- .MFW
- .MMW
- .MOS
- .MOV
- .MP3
- .MP4
- .MPG
- .MPP
- .MRW
- .MSO
- .MYD
- .NDD
- .NEF
- .NK2
- .NRW
- .NS2
- .NS3
- .NS4
- .NSD
- .NSF
- .NSG
- .NSH
- .NWB
- .NX1
- .NX2
- .NYF
- .OBJ
- .ODB
- .ODC
- .ODF
- .ODG
- .ODM
- .ODP
- .ODS
- .ODT
- .OIL
- .ONE
- .ORF
- .OTG
- .OTH
- .OTP
- .OTS
- .OTT
- .P12
- .P7B
- .P7C
- .PAGES
- .PAS
- .PAT
- .PBO
- .PCD
- .PCT
- .PDD
- .PEF
- .PEM
- .PFX
- .PHP
- .PIP
- .PL
- .PLC
- .POT
- .POTM
- .POTX
- .PPAM
- .PPS
- .PPSM
- .PPSX
- .PPT
- .PPTM
- .PPTX
- .PRF
- .PS
- .PSAFE3
- .PSD
- .PSPIMAGE
- .PTX
- .PUB
- .PUZ
- .PY
- .QBA
- .QBW
- .R3D
- .RAF
- .RAR
- .RAT
- .RAW
- .RDB
- .RM
- .RTF
- .RWZ
- .SAS7BDAT
- .SAY
- .SD0
- .SDA
- .SDF
- .SNP
- .SQL
- .SR2
- .SRF
- .SRT
- .SRW
- .ST4
- .ST5
- .ST6
- .ST7
- .ST8
- .STC
- .STD
- .STI
- .STW
- .STX
- .SVG
- .SWF
- .SXC
- .SXD
- .SXG
- .SXI
- .SXM
- .SXW
- .TEX
- .TGA
- .THM
- .TXT
- .VOB
- .VSD
- .VSX
- .VTX
- .WAV
- .WB2
- .WDB
- .WLL
- .WMV
- .WPD
- .WPS
- .X11
- .X3F
- .XLA
- .XLAM
- .XLB
- .XLC
- .XLL
- .XLM
- .XLR
- .XLS
- .XLSB
- .XLSM
- .XLSX
- .XLT
- .XLTM
- .XLTX
- .M4A
- .WMA
- .D3DBSP
- .XLW
- .XPP
- .XSN
- .YUV
- .ZIP
- .ZIP
- .SIE
- .UNREC
- .SCAN
- .SUM
- .T13
- .T12
- .QDF
- .TAX
- .PKPASS
- .BC6
- .BC7
- .SIDN
- .SIDD
- .MDDATA
- .ITL
- .ITDB
- .ICXS
- .HVPL
- .HPLG
- .HKDB
- .MDBACKUP
- .SYNCDB
- .GHO
- .CAS
- .MAP
- .WMO
- .ITM
- .SB
- .FOS
- .MOV
- .VDF
- .ZTMP
- .SIS
- .SID
- .NCF
- .MENU
- .LAYOUT
- .DMP
- .BLOB
- .ESM
- .VCF
- .VTF
- .DAZIP
- .FPK
- .MLX
- .KF
- .IWD
- .VPK
- .TOR
- .PSK
- .RIM
- .W3X
- .FSH
- .NTL
- .ARCH00
- .LVL
- .SNX
- .CFR
- .FF
- .VPP_PC
- .LRF
- .M2
- .MCMETA
- .VFS0
- .MPQGE
- .KDB
- .DB0
- .DBA
- .ROFL
- .HKX
- .BAR
- .UPK
- .DAS
- .IWI
- .LITEMOD
- .ASSET
- .FORGE
- .LTX
- .BSA
- .APK
- .RE4
- .LBF
- .SLM
- .EPK
- .RGSS3A
- .PAK
- .BIG
- .WALLET
- .WOTREPLAY
- .XXX
- .DESC
- .M3U
- .JS
- .CSS
- .RB
- .PNG
- .RW2
- .RWL
- .MRWREF
- .3FR
- .XF
- .PST
- .DX
- .TIFF
- .BD
- .TAR
- .GZ
- .MKV
- .BMP
- .DOT
- .XML
- .XMLX
- .DAT
- .HTML
- .GIF
- .MCL
- .INI
- .MTE
- .CFG
- .MP3
- .QBI
- .QBR
- .CNT
- .V30
- .QBO
- .LGB
- .QWC
- .QBP
- .AIF
- .QBY
- .1PA
- .QPD
- .SET
- .ND
- .RTP
- .QBWIN
- .LOG
- .QBBACKUP
- .TMP
- .TEMP1234
- .QBT
- .QBSDK
- .SYNCMANAGERLOGGER
- .ECML
- .QSM
- .QSS
- .QST
- .FX0
- .FX1
- .MX0
- .FPX
- .FXR
- .FIM
- .$$$
- .$DB
- .001
- .002
- .003
- .113
- .73B
- .__A
- .__B
- .AB
- .ABA
- .ABBU
- .ABF
- .ABK
- .ACP
- .ACR
- .ADI
- .AEA
- .AFI
- .ARC
- .AS4
- .ASD
- .ASHBAK
- .ASV
- .ASVX
- .ATE
- .ATI
- .BAC
- .BACKUP
- .BACKUPDB
- .BAK2
- .BAK3
- .BAKX
- .BAK~
- .BBB
- .BBZ
- .BCK
- .BCKP
- .BCM
- .BDB
- .BFF
- .BIF
- .BIFX
- .BK1
- .BKC
- .BKUP
- .BKZ
- .BLEND1
- .BLEND2
- .BM3
- .BMK
- .BPA
- .BPB
- .BPM
- .BPN
- .BPS
- .BUP
- .CAA
- .CBK
- .CBS
- .CBU
- .CK9
- .CMF
- .CRDS
- .CSD
- .CSM
- .DA0
- .DASH
- .DBK
- .DIM
- .DIY
- .DNA
- .DOV
- .DPB
- .DSB
- .FBC
- .FBF
- .FBK
- .FBU
- .FBW
- .FH
- .FHF
- .FLKA
- .FLKB
- .FPSX
- .FTMB
- .FUL
- .FWBACKUP
- .FZA
- .FZB
- .GB1
- .GB2
- .GBP
- .GHS
- .IBK
- .ICBU
- .ICF
- .INPROGRESS
- .IPD
- .IV2I
- .JBK
- .JDC
- .KB2
- .LCB
- .LLX
- .MBF
- .MBK
- .MBW
- .MDINFO
- .MEM
- .MIG
- .MPB
- .MV_
- .NB7
- .NBA
- .NBAK
- .NBD
- .NBF
- .NBI
- .NBK
- .NBS
- .NBU
- .NCO
- .NDA
- .NFB
- .NFC
- .NPF
- .NPS
- .NRBAK
- .NRS
- .NWBAK
- .OBK
- .OEB
- .OLD
- .ONEPKG
- .ORI
- .ORIG
- .OYX
- .PAQ
- .PBA
- .PBB
- .PBD
- .PBF
- .PBJ
- .PBX5SCRIPT
- .PBXSCRIPT
- .PDB
- .PQB
- .PQB-BACKUP
- .PRV
- .PSA
- .PTB
- .PVC
- .PVHD
- .QBB
- .QBK
- .QBM
- .QBMB
- .QBMD
- .QBX
- .QIC
- .QSF
- .QUALSOFTCODE
- .QUICKEN2015BACKUP
- .QUICKENBACKUP
- .QV~
- .RBC
- .RBF
- .RBK
- .RBS
- .RDB
- .RGMB
- .RMBAK
- .RRR
- .SAV
- .SBB
- .SBS
- .SBU
- .SDC
- .SIM
- .SKB
- .SME
- .SN1
- .SN2
- .SNA
- .SNS
- .SPF
- .SPG
- .SPI
- .SPS
- .SQB
- .SRR
- .STG
- .SV$
- .SV2I
- .TBK
- .TDB
- .TIBKP
- .TIG
- .TIS
- .TLG
- .TMP
- .TMR
- .TRN
- .TTBK
- .UCI
- .V2I
- .VBK
- .VBM
- .VBOX-PREV
- .VPCBACKUP
- .VRB
- .WBB
- .WBCAT
- .WBK
- .WIN
- .WJF
- .WPB
- .WSPAK
- .XBK
- .XLK
- .YRCBCK
- .~CW
- .QBI
- .QBR
- .CNT
- .DES
- .v30
- .QBO
- .LGB
- .QWC
- .QBP
- .AIF
- .QBA
- .TLG
- .QBY
- .1PA
- .QPD
- .SET
- .IIF
- .ND
- .RTP
- .TLG
- .WAV
- .Qbwin
- .log
- .QBBackup
- .tmp
- .Temp1234
- .qbt
- .QBSDK
- .log
- .QWC
- .log
- .SyncManagerLogger
- .log
- .ECML
- .QSM
- .QSS
- .QST
- .Fx0
- .Fx1
- .Mx0
- .FPx
- .FXR
- .FIM
- .$$$
- .$db
- .001
- .002
- .003
- .113
- .73b
- .__a
- .__b
- .ab
- .aba
- .abbu
- .abf
- .abk
- .acp
- .acr
- .adi
- .aea
- .afi
- .arc
- .as4
- .asd
- .ashbak
- .asv
- .asvx
- .ate
- .ati
- .bac
- .backup
- .backupdb
- .bak2
- .bak3
- .bakx
- .bak~
- .bbb
- .bbz
- .bck
- .bckp
- .bcm
- .bdb
- .bff
- .bif
- .bifx
- .bk1
- .bkc
- .bkup
- .bkz
- .blend1
- .blend2
- .bm3
- .bmk
- .bpa
- .bpb
- .bpm
- .bpn
- .bps
- .bup
- .caa
- .cbk
- .cbs
- .cbu
- .ck9
- .cmf
- .crds
- .csd
- .csm
- .da0
- .dash
- .dbk
- .dim
- .diy
- .dna
- .dov
- .dpb
- .dsb
- .fbc
- .fbf
- .fbk
- .fbu
- .fbw
- .fh
- .fhf
- .flka
- .flkb
- .fpsx
- .ftmb
- .ful
- .fwbackup
- .fza
- .fzb
- .gb1
- .gb2
- .gbp
- .ghs
- .ibk
- .icbu
- .icf
- .inprogress
- .ipd
- .iv2i
- .jbk
- .jdc
- .kb2
- .lcb
- .llx
- .mbf
- .mbk
- .mbw
- .mdinfo
- .mem
- .mig
- .mpb
- .mv_
- .nb7
- .nba
- .nbak
- .nbd
- .nbf
- .nbi
- .nbk
- .nbs
- .nbu
- .nco
- .nda
- .nfb
- .nfc
- .npf
- .nps
- .nrbak
- .nrs
- .nwbak
- .obk
- .oeb
- .old
- .onepkg
- .ori
- .orig
- .oyx
- .paq
- .pba
- .pbb
- .pbd
- .pbf
- .pbj
- .pbx5script
- .pbxscript
- .pdb
- .pqb
- .pqb-backup
- .prv
- .psa
- .ptb
- .pvc
- .pvhd
- .qbb
- .qbk
- .qbm
- .qbmb
- .qbmd
- .qbx
- .qic
- .qsf
- .qualsoftcode
- .quicken2015backup
- .quickenbackup
- .qv~
- .rbc
- .rbf
- .rbk
- .rbs
- .rdb
- .rgmb
- .rmbak
- .rrr
- .sav
- .sbb
- .sbs
- .sbu
- .sdc
- .sim
- .skb
- .sme
- .sn1
- .sn2
- .sna
- .sns
- .spf
- .spg
- .spi
- .sps
- .sqb
- .srr
- .stg
- .sv$
- .sv2i
- .tbk
- .tdb
- .tibkp
- .slm
- .epk
- .rgss3a
- .pak
- .big
- .wallet
- .wotreplay
- .xxx
- .desc
- .m3u
- .js
- .css
- .rb
- .png
- .rw2
- .rwl
- .mrwref
- .3fr
- .xf
- .pst
- .dx
- .tiff
- .bd
- .tar
- .gz
- .mkv
- .bmp
- .dot
- .xml
- .xmlx
- .dat
- .html
- .qby
- .tig
- .tis
- .tlg
- .tmp
- .tmr
- .trn
- .ttbk
- .uci
- .v2i
- .vbk
- .vbm
- .vbox-prev
- .vpcbackup
- .vrb
- .wbb
- .wbcat
- .wbk
- .win
- .wjf
- .wpb
- .wspak
- .xbk
- .xlk
- .yrcbck
- .~cw
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original filename}.ID_{random ID}_EMAIL_xxx@syrialive.net_EMAIL_xata@dr.com.hydra
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
- Microsoft Internet Explorer Update = {path of executed malware}\{malware filename}.exe
- Microsoft Internet Explorer Update = {path of executed malware}\{malware filename}.exe
- In HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
- MicrosoftSettingsStart = %Application Data%\MicrosoftSetings\{random filename}.exe
- MicrosoftSettingsStart = %Application Data%\MicrosoftSetings\{random filename}.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows
- MicrosoftStarts = {path of the executed malware}\{malware filename}.exe
- MicrosoftStarts = {path of the executed malware}\{malware filename}.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows
- MicrosoftUpd32 = {random}
- MicrosoftUpd32 = {random}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows
- MicrosoftRandomAdress = {random filename}.exe
- MicrosoftRandomAdress = {random filename}.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows
- MicrosoftSettiings = {path of the executed malware}\{malware filename}.exe
- MicrosoftSettiings = {path of the executed malware}\{malware filename}.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ID}\1.0
- (Default) = Active DS Type Library
- (Default) = Active DS Type Library
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ID}\1.0\0\win32
- (Default) = %System%\activeds.tlb
- (Default) = %System%\activeds.tlb
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ID}\1.0\FLAGS
- (Default) = 0
- (Default) = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ID}\1.0\HELPDIR
- (Default) = %System%
- (Default) = %System%
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid
- (Default) = {random ID}
- (Default) = {random ID}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid32
- (Default) = {random ID}
- (Default) = {random ID}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\TypeLib
- (Default) = {ID}
- (Default) = {ID}
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\TypeLib
- Version = 1.0
- Version = 1.0
手順 5
以下のフォルダを検索し削除します。
- %Application Data%\MicrosoftSetings
手順 6
以下のファイルを検索し削除します。
- {path of the executed malware}\README_DECRYPT_HYDRA_ID_{random ID}.txt
- {path of the executed malware}\README_DECRYPT_HYDRA_ID_{random ID}.jpg
- %Application Data%\MicrosoftSetings\{random filename}.exe
- %Application Data%\MicrosoftSetings\{random filename}.jpg
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_CRYPHYDRA.USVNB16」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください