RANSOM_CRYPSHED.D

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、特定のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。 マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• JS_CRYPSHED.B

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %All Users Profile%\Application Data\Windows\csrss.exe (Windows XP and below)
• %All Users Profile%\Windows\csrss.exe (Windows Vista and above)

(註：%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

マルウェアは、以下のファイルを作成します。

• %Application Data%\{8 Random Alphanumeric Characters}{Same Characters as first 8}.bmp
• %User Temp%\cached-certs
• %User Temp%\cached-microdesc-consensus
• %User Temp%\cached-microdescs.new
• %User Temp%\lock
• %User Temp%\state

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

• 
• {Root Drives}\README{number 1 to 10}.txt
• %System Root%\Users\Public\Public Desktop\README{number 1 to 10}.txt (Windows Vista and Above)
• %All Users Profile%\Desktop\README{number 1 to 10}.txt (For Windows XP and Below)
• %Desktop%\README{number 1 to 10).txt

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = %All Users Profile%\Application Data\Windows\csrss.exe (Windows XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Subsystem = %All Users Profile%\Windows\csrss.exe (Windows Vista and above)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
pk = {PUBLIC KEY}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
cnt = {numbers}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
mode = 0

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
state = 5

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
i = {random characters}

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
Version = 7.2.0.3

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
pk = {PUBLIC KEY}

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
cnt = {numbers}

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
mode = 0

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
state = 3

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
i = {random characters}

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
Version = 7.2.0.3

HKEY_LOCAL_MACHINE\SOFTWARE\System32\
Configuration
sys = 1

HKEY_CURRENT_USER\SOFTWARE\System32\
Configuration
sys = 1

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
wp = "%Application Data%\{random characters}.bmp"

(註：変更前の上記レジストリ値は、「"{user-defined}"」となります。)

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

• %Application Data%\{8 random alphanumeric characters}{Same characters as first 8}.bmp
• 

ダウンロード活動

マルウェアは、以下のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。

• URLs varies based from the list received from the servers

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{8 Random Alphanumeric Strings}.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、ダウンロードしたファイルを実行します。

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer Information
• Network Information
• IP Address
• List of Logical Drives
• User Name
• OS Version

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• whatismyipaddress.com

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{server}/{path}
  
  where {server} can be any of the following:
  • {BLOCKED}.{BLOCKED}.40.189
  • {BLOCKED}.{BLOCKED}.32.5
  • {BLOCKED}.{BLOCKED}.0.39
  • {BLOCKED}.{BLOCKED}.21.38
  • {BLOCKED}.{BLOCKED}.206.212
  • {BLOCKED}.{BLOCKED}.251.203
  • {BLOCKED}.{BLOCKED}.17.194
  • {BLOCKED}.{BLOCKED}.244.244
  • {BLOCKED}.{BLOCKED}.223.34
  • {BLOCKED}.{BLOCKED}.193.9
  • http://{BLOCKED}h2ldj3v.onion
  and where {path} can be any of the following:
  • reg.php
  • prog.php
  • err.php
  • cmd.php
  • sys.php
  
  
  

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• edml
• raw
• jpg
• jpeg
• jpe
• bmp
• png
• tif
• tiff
• dib
• gif
• svg
• svgz
• rle
• tga
• vda
• icb
• wbm
• wbmp
• jpf
• jpx
• jp2
• j2k
• j2c
• jpc
• avi
• mkv
• mov
• mp4
• wmv
• 3gp
• mpg
• mpeg
• m4v
• divx
• mpv
• m1v
• dat
• anim
• m4a
• qt
• 3g2
• f4v
• mkidx
• mka
• avs
• vdr
• flv
• bin
• mp3
• wav
• asx
• pls
• zip
• 7z
• rar
• tar
• gz
• bz2
• wim
• xz
• c
• h
• hpp
• cpp
• php
• php3
• php4
• php5
• py
• pl
• sln
• js
• json
• inc
• sql
• java
• class
• ini
• asm
• clx
• tbb
• tbi
• tbk
• pst
• dbx
• cbf
• crypted
• tib
• eml
• fld
• vbm
• vbk
• vib
• vhd
• 1cd
• dt
• cf
• cfu
• mxl
• epf
• vrp
• grs
• geo
• elf
• lgf
• lgp
• log
• st
• pff
• mft
• efd
• md
• dmp
• fdb
• lst
• fbk
• sw
• vdw

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {random characters}.better_call_saul
• {Original File Name}.los_pollos - if filename encryption fails