RANSOM_DXXD.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Path of Encrypted Files}/ReadMe.TxT <-- Ransom Note

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
LegalNoticeCaption = Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
LegalNoticeText = When you start Windows, WindowsDefender works to help protect your PC by scanning for malicious or unwanted software.

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• .dbf
• .pll
• .ntx
• .ovl
• .prn
• .chm
• .bmp
• .ini
• .axp
• .prnbtw
• .pp
• .log
• .jpg
• .jpeg
• .tif
• .man
• .gz
• .sln
• .vhd
• .dl_
• .DSC
• .rdj
• .irj
• .miz
• .psz
• .rcf
• .ssms
• .xsl
• .inx
• .isn
• .QBB
• .fll
• .lyt
• .pptx
• .ibenc
• .dbc
• .dcx
• .dct
• .cdx
• .psd
• .bup
• .vbs
• .htm
• .compiled
• .zip
• .nup
• .sql
• .zidan
• .udl
• .mof
• .plk
• .mdf
• .ldf
• .bin
• .crt
• .p7b
• .xml
• .exp
• .1of2
• .2of2
• .slf
• .bak
• .rar
• .aspx
• .master
• .gif
• .asax
• .iso
• .config
• .cshtml
• .rpt
• .manifest
• .cmd
• .torrent
• .uicfg
• .xsd
• .cat
• .asm
• .vmp
• .trc
• .1
• .2
• .3
• .4
• .5
• .6
• .7
• .8
• .9
• .10
• .out
• .lex
• .h
• .db
• .dat
• .json
• .cache
• .pset
• .sbstore
• .accdb
• .pnt
• .dwg
• .err
• .7z
• .mpeg
• .shs
• .cfg
• .a
• .job
• .csd
• .esd
• .ggf
• .xnl
• .sty
• .dst
• .mp3
• .pol
• .timg
• .wav
• .wpl
• .dia
• .016
• .bnk
• .pst
• .htz
• .isu
• .jobx
• .oxps
• .cgd
• .TSF
• .900
• .oca
• .OCX
• .doccount
• .wim
• .fdl
• .deploy
• .ndf
• .pyd
• .py
• .pyc
• .doc
• .docx
• .dot
• .xls
• .xlsx
• .ppt
• .one
• .pub
• .vsdx
• .mdb
• .mso
• .xlsb
• .oft
• .asd
• .mpp
• .xlsm
• .pdf
• .reg
• .edb
• .ci
• .dir
• .wid
• .png
• .plist
• .tiff
• .msg
• .001
• .mp4
• .csv
• .txt
• .res
• .jar
• .js
• .bat
• .c
• .cpp
• .cs
• .ps1
• .set
• .wad
• .html
• .php
• .css
• .cer
• .eps
• .pfx
• .mst
• .lst
• .odt
• .accdt
• .crypt
• .eng
• .fdb
• .fits
• .flat
• .flf
• .flm
• .flt
• .flx
• .fm
• .fm3
• .fm5
• .fmb
• .fmd
• .fmdb
• .fmedb
• .fml
• .fmo
• .fmp
• .fmp12
• .fmp3
• .fmplugin
• .fmpr
• .fmpsl
• .fmpur
• .fmt
• .fmtr
• .fmx
• .fnd
• .fo
• .foc
• .fog
• .fol
• .fow
• .fox
• .fp
• .fp3
• .fp4
• .fp5
• .fp6
• .fp7
• .fpk
• .fpm
• .fpsl
• .fpt
• .fpw
• .fragment
• .frg
• .frm
• .fro
• .frx
• .fsf
• .fsl
• .ftch
• .ftr
• .fts
• .ftx
• .fw
• .fw2
• .fw3
• .fxp
• .fxr
• .g
• .g3d
• .g4
• .gab
• .gar
• .gb
• .gbk
• .gdb
• .gdbindexes
• .gdbtable
• .gdbtablx
• .gdc
• .gde
• .gdl
• .gdq
• .gen
• .geo
• .gfm
• .gjd
• .gpk
• .gpr
• .gpx
• .grdb
• .gsdu
• .gtable
• .gtr
• .gwf
• .h!
• .hbc
• .hbc2
• .hbe
• .hbin
• .hbk
• .hdb
• .hdf
• .hdr
• .hdv
• .hdx
• .hhm
• .hhs
• .hia
• .hip
• .his
• .hjt
• .hkdb
• .hkp
• .hlp
• .hlt
• .hmm
• .hnd
• .htmhjt
• .htri
• .htx
• .i
• .i5z
• .iab
• .ib
• .ibd
• .ibs
• .ibz
• .icbu
• .icd
• .icg
• .icms
• .icp
• .idb
• .idb2
• .idc
• .idm
• .idq
• .idt
• .iff
• .iflv
• .ifp
• .ihtml
• .ihx
• .imd
• .imgcache
• .imp
• .imr
• .in4
• .ind
• .inp
• .ins
• .ipdb
• .iqd
• .iqy
• .irg
• .irn
• .is1
• .is2
• .is4
• .isam
• .isi
• .ispac
• .isx
• .itdb
• .itl
• .itld
• .itw
• .ivt
• .iw
• .iwc
• .ix2
• .blt
• .hta
• .xtlb
• .globe
• .rpmsg
• .thmx
• .snp
• .obi
• .ost
• .olm
• .xsn
• .vsd
• .laccdb
• .dotx
• .docm
• .accdr
• .xlam
• .mde
• .wbk
• .onepkg
• .pptm
• .xltx
• .pip
• .xla
• .accde
• .ppsm
• .ppsx
• .vss
• .slk
• .crtx
• .xlt
• .svd
• .xlb
• .xlw
• .grv
• .xlm
• .potx
• .xar
• .iaf
• .mpd
• .pa
• .pps
• .ops
• .dotm
• .pot
• .oab
• .acl
• .mdt
• .mpt
• .xltm
• .xl
• .ade
• .vst
• .ppam
• .xsf
• .mda
• .accdc
• .mdw
• .xll
• .mat
• .sldx
• .vdx
• .mar
• .ppa
• .accda
• .maf
• .puz
• .vsx
• .mam
• .potm
• .prf
• .wll
• .xlc
• .vtx
• .accdp
• .sldm
• .accdu
• .maq
• .xslb
• .h1q
• .cnv
• .maw
• .ova
• .vmdk
• .conf
• .vmem
• .vdi
• .vbox-extpack
• .vhdx
• .vmx
• .nvram
• .ovf
• .pvm
• .vmc
• .pvs
• .vmxf
• .vmsg
• .hdd
• .vmwarevm
• .vbox
• .hds
• .appicon
• .vfd
• .xva
• .qcow2
• .vcb
• .vmsd
• .efd
• .fdd
• .vmcx
• .xml-prev
• .menudata
• .avhd
• .vmsn
• .vswp
• .vmss
• .r0
• .vsv
• .zrp
• .dsk
• .hlog
• .qcow
• .appdata
• .psf
• .xvm
• .mem
• .img
• .vmoapp
• .qvm
• .vud
• .vmt
• .vcf
• .eml
• .msf
• .mht
• .vcard
• .dbx
• .mbox
• .emix
• .ldif
• .emlx
• .rcv
• .mab
• .nws
• .oas
• .mbs
• .list
• .gwi
• .pab
• .mlm
• .mbx
• .sbd
• .wdseml
• .abx
• .pbx
• .ezm
• .pmm
• .p10
• .boe
• .tbb
• .pmi
• .box
• .agt
• .msb
• .ldi
• .tnf
• .mail
• .mhp
• .bri
• .mau
• .cnm
• .mailhost
• .pmx
• .maildb
• .pop
• .pm1
• .mbg
• .smd
• .mozeml
• .mmdf
• .outlook97
• .gmp
• .smp
• .pml
• .schd
• .pmc
• .asv
• .vrge08note
• .pm3
• .bina
• .bdf
• .pki
• .vmtm
• .vmdk-converttmp
• .kbd
• .pvi
• .vmlog
• .vmpl
• .std
• .pvc
• .vpc7
• .vmba
• .vpc6
• .vmxa
• .vmhf
• .vmac
• .vmhr
• .syndarticle
• .ix3
• .ixf
• .ixl
• .ixr
• .j
• .j2c
• .j2k
• .jds
• .jdx
• .jet
• .jfif
• .jnl
• .joml
• .jor
• .jrs
• .jst
• .jw
• .jz
• .k01
• .idx
• .inc
• .ipd
• .lng
• .msi
• .prg
• .sdf
• .sqlite
• .tbl
• .upd
• .wdb
• .wps
• .$$f
• .$db
• .$er
• .000
• .0000000001
• .1pif
• .3db
• .3gpp2
• .4db
• .4dd
• .4dl
• .4dr
• .4ds
• .4lb
• .4lk
• .4mp
• .4ug
• .4vr
• .5d
• .9xd
• .a2s
• .aaa
• .abbu
• .abcddb
• .abcdmr
• .abf
• .abm
• .abs
• .acad
• .accdw
• .accfl
• .accft
• .acf
• .acm
• .acp
• .acq
• .adb
• .adblock
• .add
• .adi
• .adm
• .adn
• .adp
• .adr
• .cod
• .con
• .cpd
• .cpf
• .cpt
• .cqs
• .crb
• .crd
• .crds
• .crf
• .crp
• .crypt10
• .crypt11
• .crypt12
• .crypt5
• .crypt6
• .crypt7
• .crypt8
• .crypt9
• .csh
• .csp
• .ctf
• .cti
• .ctl
• .cub
• .current
• .cvb
• .cvd
• .cvt
• .cwdb
• .cwt
• .d1
• .d2
• .dab
• .dacpac
• .daf
• .dap
• .daschema
• .data
• .database
• .db$
• .db-exception
• .db-journal
• .db-shm
• .db-wal
• .db
• .crypt5
• .db
• .crypt7
• .db
• .crypt8
• .db0
• .db1
• .db2
• .db2p
• .db3
• .db3-journal
• .db4
• .db5
• .db6
• .db7
• .db8
• .dbg
• .dbi
• .dbk
• .dblib
• .dblink
• .dbmanifest
• .dbmdl
• .dbml
• .dbo
• .mdl
• .dbp
• .dbpf
• .dbproj
• .dbq
• .dbr
• .dbs
• .dbschema
• .dbsdif
• .dbt
• .dbu
• .dbv
• .dbw
• .dbz
• .dcb
• .dcd
• .dcf
• .dcfg
• .dcm
• .dcmd
• .dd
• .ddb
• .ddf
• .ddl
• .ddm
• .ddr
• .dec
• .ded
• .def
• .dev
• .dez
• .df
• .df1
• .df2
• .df3
• .df4
• .df6
• .df7
• .dff
• .dfq
• .dfr
• .dft
• .dg
• .dgb
• .dgdat
• .dgr
• .dii
• .dis
• .dit
• .dlc
• .dls
• .dm
• .dm1
• .dmd
• .dmg
• .dml
• .dmo
• .dmpx
• .dmu
• .dmy
• .dna
• .dnb
• .dnc
• .dnl
• .dock
• .dp1
• .dpb
• .dpl
• .dql
• .dqy
• .dr2
• .drg
• .dri
• .ds
• .dsc
• .dsd
• .dsdb
• .dsn
• .dso
• .dss
• .dsv
• .dta
• .dtf
• .dtm
• .dts
• .duo
• .dwl
• .dxi
• .ec3
• .ecb
• .ecfg
• .eco
• .ecsv
• .ecx
• .ede
• .edmx
• .edq
• .edt
• .edv
• .edx
• .efxt
• .eit
• .emd
• .emsg
• .enb
• .enc
• .encrypted
• .enl
• .enlx
• .enq
• .epd
• .epj
• .epl
• .eqd
• .eql
• .erd
• .erf
• .esb
• .esr
• .evcd
• .event
• .evn
• .exb
• .exc
• .exh
• .exx
• .f
• .f+db
• .f2b
• .fa
• .fad
• .fasta
• .fbd
• .fbm
• .fcd
• .fcfe
• .fcs
• .fct
• .fd
• .fd1
• .fds
• .ffd
• .ffs
• .ffs_db
• .fgr
• .fic
• .fid
• .fil
• .fit
• .db9
• .dba
• .dbag
• .dbb
• .dbd
• .dbdif
• .adrg
• .adt
• .adx
• .ae1
• .aet
• .aex
• .afl
• .afo
• .afz
• .agp
• .ags
• .ai
• .aij
• .al
• .alb
• .all
• .alm
• .aln
• .alw
• .alx
• .am
• .amb
• .amc
• .amiglobe
• .amj
• .amm
• .ap
• .apdb
• .apfacename
• .aph
• .aplibrary
• .app
• .apv
• .apvault
• .apx
• .aqc
• .arm
• .arz
• .as
• .asa
• .asdatabase
• .asdb
• .asi
• .ask
• .asr
• .assoc
• .ate
• .ati
• .atn
• .atr
• .ats
• .auc
• .auf
• .avc
• .avd
• .avg
• .avz
• .awdb
• .awss
• .awwp
• .axl
• .azz
• .b2
• .backup
• .bad
• .bai
• .bar
• .basex
• .bb
• .bbk
• .bbt
• .bc3
• .bch
• .bcm
• .bdb
• .bde
• .bes
• .bf2
• .bfp
• .bgl
• .bi
• .bib
• .bibtex
• .bjl
• .bks
• .bky
• .blb
• .blo
• .blu
• .bml
• .bmx
• .bnd
• .bok
• .bom
• .bp
• .bp2
• .bp3
• .bpd
• .bpo
• .bpp
• .bps
• .bqy
• .brz
• .bsm
• .bson
• .bsq
• .bswx
• .btf
• .btk
• .btq
• .btr
• .btv
• .btx
• .bvw
• .bw1
• .bws
• .bxd
• .bzm
• .cac
• .ndl
• .cag
• .caj
• .cbb
• .cbd
• .cbh
• .cbs
• .cbv
• .cbz
• .cc
• .ccd
• .ccf
• .cdb
• .cdbcmsg
• .cdf
• .cdm
• .cds
• .cdt
• .cdwlxml
• .ced
• .cef
• .celtx
• .cep
• .cezeokey
• .cfm
• .cfml
• .cgi
• .ch
• .changedb
• .changedb-journal
• .chp
• .cht
• .chy
• .cid
• .cidb
• .ciw
• .cjd
• .cka
• .ckp
• .ckv
• .ckz
• .cld
• .clf
• .clr
• .cls
• .clw
• .cma
• .cmdb
• .cmxl
• .cnd
• .cnf
• .cnr
• .tsm
• .pem
• .csr
• .key
• .frt
• .sxc
• .gzip
• .bkf
• .d
• .bc
• .bgc
• .zepto
• .mq4
• .forex
• .lic
• .srv
• .chr
• .wnd
• .adb
• .car
• .ver
• .qbw
• .nd
• .lgb
• .tlg
• .qbb
• .pub
• .cly
• .gly
• .web
• .ctl
• .cpz
• .pqz
• .pic
• .sts
• .vmdk
• .vmem

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {original filename and extension}dxxd

マルウェアは、実行後、自身を削除します。