RANSOM_CRYPSHED.C

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %All Users Profile%\Application Data\Windows\csrss.exe (Windows XP and below)
• %All Users Profile%\Windows\csrss.exe (Windows Vista and above)

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = %All Users Profile%\Application Data\Windows\csrss.exe (Windows XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = %All Users Profile%\Windows\csrss.exe (Windows Vista and above)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
sys = 1

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
sys = 1

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
pk = {PUBLIC KEY}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
cnt = {numbers}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
mode = 0

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
state = 5

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
i = {random characters}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
Version = 7.2.0.3

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
pk = {PUBLIC KEY}

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
cnt = {numbers}

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
mode = 0

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
state = 3

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
i = {random characters}

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
Version = 7.2.0.3

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
wp = "%Application Data%\{random characters}.bmp"

(註：変更前の上記レジストリ値は、「"{user-defined}"」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\cached-certs
• %User Temp%\cached-microdesc-consensus
• %User Temp%\cached-microdescs.new
• %User Temp%\unverified-microdesc-consensus
• %User Temp%\lock
• %User Temp%\state
• %Application Data%\{random characters}.bmp
• {drive letter}:\README{1-10}.txt
• %Desktop%\README{1-10}.txt
• {folder containing encrypted files}\README.txt

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• whatismyipaddress.com

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{server}/{path}
  
  where {server} can be any of the following:
  • {BLOCKED}.{BLOCKED}.244.244
  • {BLOCKED}.{BLOCKED}.0.39
  • {BLOCKED}.{BLOCKED}.202.159
  • {BLOCKED}.{BLOCKED}.171.24
  • {BLOCKED}.{BLOCKED}.125.226
  • {BLOCKED}.{BLOCKED}.21.38
  • {BLOCKED}.{BLOCKED}.206.212
  • {BLOCKED}.{BLOCKED}.251.203
  • {BLOCKED}.{BLOCKED}.17.194
  • {BLOCKED}.{BLOCKED}.40.189
  • {BLOCKED}.{BLOCKED}.223.34
  • {BLOCKED}.{BLOCKED}.193.9
  • {BLOCKED}.{BLOCKED}.32.5
  • http://{BLOCKED}xobioye4wb.onion
  and where {path} can be any of the following:
  • reg.php
  • prog.php
  • err.php
  • cmd.php
  • sys.php
  
  
  
• {URLs based from the list received from the server}

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {random characters}.better_call_saul