RANSOM_CRYPTESLA.YUYAJT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Windows%\{random filename}.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のコンポーネントファイルを作成します。

• {folders containing encrypted files}\_ReCoVeRy_+{random}.png - ransom note
• {folders containing encrypted files}\_ReCoVeRy_+{random}.html - ransom note
• {folders containing encrypted files}\_ReCoVeRy_+{random}.txt - ransom note
• %My Documents%\_ReCoVeRy_+{random}.html - ransom note
• %My Documents%\_ReCoVeRy_+{random}.txt - ransom note
• %My Documents%\recover_file_{random}.txt - ransom note

  (Note: %My Documents% is usually C:\Documents and Settings\{user name}\My Documents on Windows 2000, XP, and Server 2003, or C:\Users\{user name}\Documents on Windows Vista and 7.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "C:\Windows\system32\CMD.EXE /c start %Windows%\{random filename}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\zzzsys

HKEY_CURRENT_USER\Software\{ID}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\zzzsys
ID = "{ID}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = "1"

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://www.{BLOCKED}ticauno.net/gamma/tmp/wstr.php
• http://{BLOCKED}our.info/users/28c4fe1/wstr.php
• http://{BLOCKED}edicalcentre.com/wp-content/uploads/wstr.php
• http://{BLOCKED}izedaccess.co.uk/wp-content/uploads/2015/09/wstr.php
• http://{BLOCKED}stitut.org/wp-content/themes/bstr.php
• http://www.{BLOCKED}aticauno.net/gamma/tmp/bstr.php