RANSOM_CRYPWALL.YUYAGE

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{random characters}\{random characters}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

• %User Startup%\HELP_YOUR_FILES.HTML
• %User Startup%\HELP_YOUR_FILES.PNG
• %User Startup%\HELP_YOUR_FILES.TXT
• {Folder with encrypted files}\HELP_YOUR_FILES.PNG

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のファイルを作成し実行します。

• %Desktop%\HELP_YOUR_FILES.HTML
• %Desktop%\HELP_YOUR_FILES.PNG
• %Desktop%\HELP_YOUR_FILES.TXT

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

マルウェアは、以下のプロセスを追加します。

• explorer.exe
• svchost.exe

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• created explorer.exe
• created svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random characters}\{random characters}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}template.com/ZjXSsD.php?{random letter}={random values}
• {BLOCKED}ia-consulting.org/8rm6Sc.php?{random letter}={random values}
• {BLOCKED}hillplaycentres.com/Kuy6q8.php?{random letter}={random values}
• {BLOCKED}gaz.pl/SCd9hX.php?{random letter}={random values}
• {BLOCKED}rvizigomme.it/vJHmkL.php?{random letter}={random values}
• {BLOCKED}e.pl/dJE2Ok.php?{random letter}={random values}
• {BLOCKED}g.tsaplin.com/8cxZ_C.php?{random letter}={random values}
• {BLOCKED}lilahiler.com/jwtfq9.php?{random letter}={random values}
• {BLOCKED}dent.ro/KqSF6e.php?{random letter}={random values}
• {BLOCKED}isi.com/2XuliT.php?{random letter}={random values}
• {BLOCKED}m.com/aVBfpT.php?{random letter}={random values}
• {BLOCKED}gpareresidence.com/ty7L18.php?{random letter}={random values}
• {BLOCKED}ept.ro/sbZFrt.php?{random letter}={random values}

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• wll
• wmv
• wpd
• wps
• x11
• x3f
• xis
• xla
• xlam
• xlb
• xlc
• xlk
• xll
• xlm
• xlr
• xls
• xlsx
• xlsm
• xlsb
• xlt
• xltx
• xltm
• xlw
• xpp
• xsn
• ycbcra
• yuv
• zip
• 3fr
• 3dm
• 3ds
• 3gp
• 3g2
• 3pr
• 7z
• +MuhD
• ab4
• accdb
• accde
• accdp
• accdr
• accdt
• accdu
• ach
• acr
• act
• adb
• ads
• agdl
• ait
• ai
• al
• apj
• arw
• asf
• asm
• asp
• asx
• avi
• awg
• back
• backup
• backupdb
• bak
• bank
• bay
• bdb
• bgt
• bik
• bkf
• bkp
• blend
• bpw
• cdb
• cdf
• cdr
• cdr6
• cdrw
• cdr5
• cdr3
• cdr4
• cdx
• ce1
• ce2
• cer
• cfp
• cgm
• c
• cib
• class
• cls
• cmt
• cnv
• cpi
• cpp
• cr2
• craw
• crt
• crw
• csh
• csl
• csv
• cs
• dac
• db-journal
• db3
• db
• dbf
• dbr
• dbs
• dc2
• dcr
• dcs
• dcx
• ddd
• ddoc
• ddrw
• dds
• der
• des
• design
• dgc
• djvu
• dng
• doc
• docm
• docx
• dot
• dotm
• dotx
• drf
• drw
• dtd
• dwg
• dxb
• dxf
• dxg
• ebd
• edb
• eml
• eps
• erbsql
• erf
• exf
• fdb
• ffd
• fff
• fhd
• fh
• fla
• flac
• flv
• fm
• fp7
• fpx
• fxg
• gdb
• gray
• grey
• grw
• gry
• hbk
• hpp
• h
• ibank
• ibd
• ib
• ibz
• idx
• iif
• iiq
• incpas
• indd
• itdb
• java
• jpe
• jpeg
• jpg
• kc2
• kdbx
• kdc
• key
• kpdx
• lua
• m4v
• maf
• mam
• maq
• mar
• maw
• max
• mdb
• mdc
• mde
• mdf
• mdt
• mef
• mfw
• mmw
• moneywell
• m
• mos
• mov
• mp3
• mp4
• mpg
• mpp
• mrw
• mso
• myd
• ndd
• nd
• nef
• nk2
• nop
• nrw
• ns2
• ns3
• ns4
• nsd
• nsf
• nsg
• nsh
• nwb
• nx1
• nx2
• nxl
• nyf
• obj
• odb
• odc
• odf
• odg
• odm
• odp
• ods
• odt
• oil
• one
• orf
• otg
• oth
• otp
• ots
• ott
• p12
• p7b
• p7c
• pages
• pas
• pat
• pbo
• pcd
• pct
• pdb
• pdd
• pdf
• pef
• pem
• pfx
• php
• pip
• plc
• pl
• pot
• potm
• potx
• ppam
• pps
• ppsx
• ppsm
• ppt
• pptm
• pptx
• prf
• ps
• psafe3
• psd
• pspimage
• ptx
• pub
• puz
• py
• qba
• qbb
• qbm
• qbr
• qbw
• qbx
• qby
• r3d
• raf
• rar
• rat
• raw
• rdb
• rm
• rpmsg
• rtf
• rw2
• rwl
• rwz
• s3db
• sas7bdat
• say
• sd0
• sda
• sdf
• sl2
• sldm
• sldx
• snp
• sqlite3
• sql
• sqlite
• sqlitedb
• sr2
• srf
• srt
• srw
• st4
• st5
• st6
• st7
• st8
• std
• sti
• stw
• stx
• svg
• swf
• sxc
• sxd
• sxg
• sxi
• sxm
• sxw
• tex
• tga
• thm
• tlg
• txt
• vob
• vsx
• vtx
• wallet
• wav
• wb2

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアは、CDドライブ以外のすべてのドライブ内のファイルを検索し暗号化します。

マルウェアは、以下のコマンドを実行して、シャドウコピーを削除します。

• vssadmin.exe Delete Shadows/All/Quiet

マルウェアは、以下の拡張子を持つファイルは暗号化しません。

• application
• bat
• cmd
• com
• cpl
• dll
• exe
• gadget
• hta
• msc
• msi
• msp
• pif
• scf
• scr
• sys

マルウェアは、以下のファイル名のファイルは暗号化しません。

• p0r4dime.1!
• thumbs.db

マルウェアは、以下のフォルダ名を持つフォルダ内のファイルは暗号化しません。

• Temp
• Y@Cs
• cache
• cache2
• games
• nvidia
• packages
• uvOyR
• windows

マルウェアは、以下の名前を利用して暗号化されたファイルのファイル名を変更します。

• {5 to 10 alphanumeric characters}.{2 to 5 alphanumeric characters}

マルウェアは、以下の脅迫状を表示します。

被害者が脅迫状に指定されている支払いサイトに接続すると、以下の復号化サービスサイトがブラウザに表示されます。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。