Ransom_Magni.R002C0WJO17
Generic.Ransom.Magniber.F8E5B4A7 (Bitdefender), a variant of Win32/Filecoder.Magniber.A trojan (NOD32)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。 マルウェアは、実行後、自身を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\fprgbk.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のプロセスを追加します。
- "cmd.exe" /c "%System%\wbem\wmic shadowcopy delete"
- %System%\eventvwr.exe
- ping localhost -n 3
- schtasks /create /SC MINUTE /MO 15 /tn fprgbk /TR pcalua.exe -a %User Temp%\fprgbk.exe
- schtasks /create /SC MINUTE /MO 15 /tn {random alphanumeric characteristics} /TR %User Temp%\READ_ME_FOR_DECRYPT_{random alphanumeric characteristics}_.txt
- pcalua.exe -a eventvwr.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。
マルウェアは、実行後、自身を削除します。
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{random alphanumeric characters}.orea{BLOCKED}.xyz
- http://{random alphanumeric characters}.says{BLOCKED}.site
- http://{random alphanumeric characters}.lock{BLOCKED}.party
ランサムウェアの不正活動
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .fprgbk
マルウェアが作成する以下のファイルは、脅迫状です。
- {encrypted file path}\READ_ME_FOR_DECRYPT_{random alphanumeric characters}_.txt