RANSOM_LOCKON.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\windowsdefender.bin -> Encryption Key

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

他のシステム変更

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• https://{BLOCKED}e.{BLOCKED}ack.com/fichiers/2017/44/4/1509655557-rw.jpg

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• {Malware Folder}\Background.jpg

その他

マルウェアは、以下のメッセージが記載されたポップアップウィンドウを表示します。

ランサムウェアの不正活動

マルウェアは、以下の文字列を含むファイルを暗号化します。

• .sc
• .mkv
• .txt
• .exe
• .dll
• .ico
• .png
• .3dm
• .3g2
• .3gp
• .aaf
• .accdb
• .aep
• .aepx
• .aet
• .ai
• .aif
• .arw
• .as
• .as3
• .asf
• .asp
• .asx
• .avi
• .bay
• .bmp
• .cdr
• .cer
• .class
• .cpp
• .cr2
• .crt
• .crw
• .cs
• .csv
• .db
• .dbf
• .dcr
• .der
• .dng
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwg
• .dxf
• .dxg
• .efx
• .eps
• .erf
• .fla
• .flv
• .idml
• .iff
• .indb
• .indd
• .indl
• .indt
• .inx
• .jar
• .java
• .jpeg
• .jpg
• .kdc
• .m3u
• .m3u8
• .m4u
• .max
• .mdb
• .mdf
• .mef
• .mid
• .mov
• .mp3
• .mp4
• .mpa
• .mpeg
• .mpg
• .mrw
• .msg
• .nef
• .nrw
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt
• .orf
• .p12
• .p7b
• .p7c
• .pdb
• .pdf
• .pef
• .pem
• .pfx
• .php
• .plb
• .pmd
• .pot
• .potm
• .potx
• .ppam
• .ppj
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prel
• .prproj
• .ps
• .psd
• .pst
• .ptx
• .r3d
• .ra
• .raf
• .rar
• .raw
• .rb
• .rtf
• .rw2
• .rwl
• .sdf
• .sldm
• .sldx
• .sql
• .sr2
• .srf
• .srw
• .svg
• .swf
• .tif
• .vcf
• .vob
• .wav
• .wb2
• .wma
• .wmv
• .wpd
• .wps
• .x3f
• .xla
• .xlam
• .xlk
• .xll
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .xqx
• .zip.ini
• .sln
• .cs
• .resx
• .Designer.cs
• .suo
• .csproj
• .settings
• .Designer.cs.cache
• .pdp
• .resources
• .Properties.Resources.resources
• .sc
• .vshost.exe.vshost.exe.manifest
• .gif
• .ide
• .bat
• .dat
• .DangAmbigs
• .freq-dawg
• .inttemp.normproto
• .pffmtable
• .unicharset
• .user-words
• .word-dawg
• .html
• .Config.sc.mkv.txt.exe.dll.ico.png
• .3dm
• .3g2
• .3gp.aaf.accdb.aep.aepx.aet.ai.aif.arw
• .as
• .as3
• .asf
• .asp
• .asx
• .avi
• .bay
• .bmp
• .cdr
• .cer
• .class
• .cpp
• .cr2
• .crt
• .crw
• .cs
• .csv
• .db
• .dbf
• .dcr
• .der
• .dng
• .doc
• .docb
• .docm
• .docx
• .dot
• .dotm
• .dotx
• .dwg
• .dxf
• .dxg
• .efx
• .eps
• .erf
• .fla
• .flv
• .idml
• .iff
• .indb
• .indd
• .indl
• .indt
• .inx
• .jar
• .java
• .jpeg
• .jpg
• .kdc
• .m3u
• .m3u8
• .m4u
• .max
• .mdb
• .mdf
• .mef
• .mid
• .mov
• .mp3
• .mp4
• .mpa
• .mpeg
• .mpg
• .mrw
• .msg
• .nef
• .nrw
• .odb
• .odc
• .odm
• .odp
• .ods
• .odt
• .orf
• .p12
• .p7b
• .p7c
• .pdb
• .pdf
• .pef
• .pem
• .pfx
• .php
• .plb
• .pmd
• .pot
• .potm
• .potx
• .ppam
• .ppj
• .pps
• .ppsm
• .ppsx
• .ppt
• .pptm
• .pptx
• .prel
• .prproj
• .ps
• .psd
• .pst
• .ptx
• .r3d
• .ra
• .raf
• .rar
• .raw
• .rb
• .rtf
• .rw2
• .rwl
• .sdf
• .sldm
• .sldx
• .sql
• .sr2
• .srf
• .srw
• .svg
• .swf
• .tif
• .vcf
• .vob
• .wav
• .wb2
• .wma
• .wmv
• .wpd
• .wps
• .x3f
• .xla
• .xlam
• .xlk
• .xll
• .xlm
• .xls
• .xlsb
• .xlsm
• .xlsx
• .xlt
• .xltm
• .xltx
• .xlw
• .xml
• .xqx
• .zip.ini
• .sln
• .cs
• .resx
• .Designer.cs
• .suo
• .csproj
• .settings
• .Designer.cs.cache
• .pdp
• .resources
• .Properties.Resources.resources
• .sc
• .vshost.exe.vshost.exe.manifest
• .gif
• .ide
• .bat
• .dat
• .DangAmbigs
• .freq-dawg
• .inttemp.normproto
• .pffmtable
• .unicharset
• .user-words
• .word-dawg
• .html
• .Config

マルウェアは、以下のディレクトリ内で確認されたファイルを暗号化します。

• C:\testrw

マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。

• .lockon