RANSOM_GULCRYPT.A
2015年11月29日
別名:
Ransom:Win32/Gulcrypt.B (Microsoft);
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
詳細
ファイルサイズ 22,528 bytes
タイプ EXE
メモリ常駐 なし
発見日 2015年2月12日
侵入方法
マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。
マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}ail.com/base.rar
インストール
マルウェアは、以下の無害なファイルを作成します。
- C:\tempfile\number.win --> this file contains the password used to archive files, this file is deleted immediately after encryption
マルウェアは、以下のテキストファイルを作成します。
- {Logical Drive}:\+{user name}_files
- C:\tempfile\number.asc --> this file is the PGP encrypted version of C:\tempfile\number.win
マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。
- -----BEGIN PGP MESSAGE-----
Version: 2.6.3i
{encrypted data from C:\tempfile\number.win using PGP}
-----END PGP MESSAGE-----
The files are packed in archives with a password.
Unpacked - 300 eur
To unpack the files send two files to email: {BLOCKED}aero@gmail.com
1) file you are reading now
2) one packed file (no more than 1 megabyte)
In response comes the original file and the instruction for money transfer
(The original file is proof that it is possible to return all files to their original)
After the transfer bitcoin, you will receive your password to archives.
Also coming program to automatically unpack files
Reply to your letter will come within 24 hours.
If no response comes for more than 24 hours write to reserved e-mail: {BLOCKED}aero@mail2tor.com
対応方法
対応検索エンジン: 9.800
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「RANSOM_GULCRYPT.A」 を作成またはダウンロードする不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
手順 3
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - {Logical Drive}:\+{user name}_files
- C:\tempfile\number.asc
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「RANSOM_GULCRYPT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください