RANSOM_CRYPWALL.WBG

マルウェアは、レジストリ値を変更し、複数のシステムサービスを無効にします。これにより、システムに必要な機能が起動しません。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\{random 8 characters}\{random 8 characters}.exe
• %Application Data%\{random 8 characters}.exe
• %User Startup%\{random 8 characters}.exe

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のファイルを作成します。

• %User Startup%\HELP_DECRYPT.HTML
• %User Startup%\HELP_DECRYPT.PNG
• %User Startup%\HELP_DECRYPT.TXT
• %User Startup%\HELP_DECRYPT.URL

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のファイルを作成し実行します。

• %Desktop%\HELP_DECRYPT.HTML
• %Desktop%\HELP_DECRYPT.PNG
• %Desktop%\HELP_DECRYPT.TXT
• %Desktop%\HELP_DECRYPT.URL

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

マルウェアは、以下のプロセスを追加します。

• explorer.exe
• svchost.exe

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• created svchost.exe
• created explorer.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 7 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 8 characters} = "%Application Data%\{random 8 characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{random 6 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe" (for Windows Vista and above only)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{random 7 characters} = "%Application Data%\{random 8 characters}.exe" (for Windows Vista and above only)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}\
{random key}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.URL}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.TXT}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.HTML}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{RSA PUBLIC KEY}"

HKEY_CURRENT_USER\Software\{UID}\
{random key}
{Path and file of encrypted file} = "{hex values}"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

マルウェアは、レジストリ値を変更し、以下のシステムサービスを無効化します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

情報漏えい

マルウェアは、以下の情報を収集します。

• Unique Identifier (UID)
• Machine Screenshot

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://ip-addr.es
• http://myexternalip.com/raw
• http://curlmyip.com

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}ale.com/ilario_bordoni/assets/images/1.php
• http://{BLOCKED}oymenarguez.com/wp-content/plugins/js_composer/assets/css/lib/vc-linecons/fonts/2.php
• http://{BLOCKED}elli.it/wp-content/plugins/wordpress-seo/vendor/composer/installers/tests/Composer/3.php
• http://{BLOCKED}atee.com/wp-includes/css/ap1.php
• http://{BLOCKED}alizaciondigital.com/new/wp-includes/js/jcrop/5.php
• http://{BLOCKED}ngcareers.co.uk/images/prettyPhoto/light_square/4.php
• http://{BLOCKED}ngcareers.co.uk/images/prettyPhoto/light_square/ap1.php
• http://{BLOCKED}o.com/wp-admin/network/ap5.php
• http://{BLOCKED}albatterycase.com/wp-admin/js/ap4.php
• http://{BLOCKED}cepts.net/wp-content/plugins/indonez-shortcodes/js/ap3.php
• http://{BLOCKED}t.com/wp-includes/fonts/ap5.php
• http://{BLOCKED}rsomaha.net/wp-includes/Text/Diff/Renderer/ap3.php
• http://{BLOCKED}lendargirls.com/wp-content/plugins/jetpack/modules/publicize/assets/rtl/4.php
• http://{BLOCKED}urityservices.com/wp-admin/images/ap2.php
• http://{BLOCKED}mission.org/wp-includes/theme-compat/ap5.php
• http://{BLOCKED}ercables.com/wp-admin/user/ap1.php
• http://{BLOCKED}ainjurycenters.com/backups_georgia/back%2007102014/ap4.php
• http://{BLOCKED}lk.info/Wp/wp-content/plugins/wp-wizard-cloak/static/js/jquery/farbtastic/5.php
• http://{BLOCKED}vap.com/mtqzpa/templates/ap5.php
• http://{BLOCKED}hosp.com/hagg2013/wp-includes/theme-compat/ap3.php
• http://{BLOCKED}ne365.com/heelziggler.com/wp-content/plugins/siteorigin-panels/widgets/widgets/call-to-action/presets/1.php
• http://{BLOCKED}lshobbycenter.be/components/com_jce/editor/tiny_mce/plugins/mediamanager/classes/getid3/2.php
• http://{BLOCKED}vac.ca/ap1.php
• http://{BLOCKED}1morrow.com/wp-content/uploads/2013/12/2.php
• http://{BLOCKED}icus.com/wp-content/uploads/gravity_forms/6-55cd98d82aec1ece039f3a32332929d1/tmp/3.php
• http://{BLOCKED}r-modellage.de/phpSitemapNG/inc/gsgxml/4.php
• http://{BLOCKED}terholmeproject.co.uk/js-js/1.php
• http://{BLOCKED}rphk.com/js-js/5.php
• http://{BLOCKED}lmarijuanamiamiflorida.com/4.php
• http://{BLOCKED}osea.net/wp-content/plugins/wordpress-seo/vendor/composer/installers/tests/Composer/5.php
• http://{BLOCKED}lesdelsur.com/wp-includes/js/jcrop/2.php
• http://{BLOCKED}lesdelsur.com/wp-includes/js/jcrop/3.php
• http://{BLOCKED}2.com/wp-content/plugins/iphorm-form-builder/js/jqueryui/themes/blitzer/images/1.php
• http://{BLOCKED}hestatemanagement.com/m/images/1.php
• http://{BLOCKED}gonzalez.com/compras/image/data/1.php
• http://{BLOCKED}orldtours.in/js/2.php
• http://{BLOCKED}ah.com/images/Image/2.php
• http://{BLOCKED}tertime.com/wp-content/themes/blogoma/inc/blogoma-admin/options/validation/str_replace/3.php
• http://{BLOCKED}ky.com/pdf/3.php
• http://{BLOCKED}id.com/wp-content/themes/point/options/fields/radio/4.php
• http://{BLOCKED}otn.com/4.php
• http://{BLOCKED}no.com/flamingo/wp-content/plugins/jetpack/modules/shortcodes/css/rtl/2.php
• http://{BLOCKED}ectric.com.au/wp-includes/js/tinymce/skins/wordpress/images/1.php
• http://{BLOCKED}eative.com/cgi-bin/3.php

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• iiq
• incpas
• indd
• java
• jpe
• jpeg
• jpg
• kc2
• kdbx
• kdc
• key
• kpdx
• lua
• m
• m4v
• max
• mdb
• mdc
• mdf
• mef
• mfw
• mmw
• moneywell
• mos
• mov
• mp3
• mp4
• mpg
• mrw
• msg
• myd
• nd
• ndd
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• nwb
• nx2
• nxl
• nyf
• oab
• obj
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• oil
• orf
• ost
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pab
• pages
• pas
• pat
• pcd
• pct
• pdb
• pdd
• pdf
• pef
• pem
• pfx
• php
• pl
• plc
• pot
• potm
• potx
• ppam
• pps
• ppsm
• ppsx
• ppt
• pptm
• pptx
• prf
• ps
• psafe3
• psd
• pspimage
• pst
• ptx
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• r3d
• raf
• rar
• rat
• raw
• rdb
• rm
• rtf
• rw2
• rwl
• 3dm
• 3ds
• 3fr
• 3g2
• 3gp
• 3pr
• 7z
• ab4
• accdb
• accde
• accdr
• accdt
• ach
• acr
• act
• adb
• ads
• agdl
• ai
• ait
• al
• apj
• arw
• asf
• asm
• asp
• asx
• avi
• awg
• back
• backup
• backupdb
• bak
• bank
• bay
• bdb
• bgt
• bik
• bkp
• blend
• bpw
• c
• cdf
• cdr
• cdr3
• cdr4
• cdr5
• cdr6
• cdrw
• cdx
• ce1
• rwz
• s3db
• sas7bdat
• say
• sd0
• sda
• sdf
• sldm
• sldx
• sql
• sqlite
• sqlite3
• sqlitedb
• sr2
• srf
• srt
• srw
• st4
• st5
• st6
• st7
• st8
• std
• sti
• stw
• stx
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxi
• sxm
• sxw
• tex
• tga
• thm
• tlg
• txt
• vob
• wallet
• wav
• wb2
• wmv
• wpd
• wps
• x11
• x3f
• xis
• xla
• xlam
• xlk
• xlm
• xlr
• xls
• xlsb
• xlsm
• xlsx
• xlt
• xltm
• xltx
• xlw
• ycbcra
• yuv
• zip
• ce2
• cer
• cfp
• cgm
• cib
• class
• cls
• cmt
• cpi
• cpp
• cr2
• craw
• crt
• crw
• cs
• csh
• csl
• csv
• dac
• db
• db3
• dbf
• db-journal
• dc2
• dcr
• dcs
• ddd
• ddoc
• ddrw
• dds
• der
• des
• design
• dgc
• djvu
• dng
• doc
• docm
• docx
• dot
• dotm
• dotx
• drf
• drw
• dtd
• dwg
• dxb
• dxf
• dxg
• eml
• eps
• erbsql
• erf
• exf
• fdb
• ffd
• fff
• fh
• fhd
• fla
• flac
• flv
• fpx
• fxg
• gray
• grey
• gry
• h
• hbk
• hpp
• ibank
• ibd
• ibz
• idx
• iif

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアが収集する情報は以下のとおりです。

• Unique Identifier (UID)
• コンピュータのスクリーンショット

マルウェアは、CDドライブを除くすべてドライブを検索してファイルを暗号化します。以下のフォルダに存在するファイルの暗号化は避けます。

• .
• ..
• cache
• games
• nvidia
• packages
• temp
• uvOyR
• windows
• Y@Cs

マルウェアは以下のコマンドを実行することで、シャドウコピーを削除します。

vssadmin.exe Delete Shadows /All /Quiet

マルウェアは、"HELP_DECRYPT.HTML"および"HELP_DECRYPT.PNG"、"HELP_DECRYPT.TXT"、"HELP_DECRYPT.URL"を暗号化したファイルが存在するすべてフォルダに作成します。マルウェアは、作成した脅迫状を開封します。

マルウェアは、復号サービスを利用するために金銭の支払を要求します。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。