解析者: Rhena Inocencio   

 別名:

Trojan:Win32/Dorv.C!rfn (Microsoft), Trojan-Ransom.Win32.CryptXXX.ako (Kaspersky), a variant of Win32/Kryptik.EYLM (ESET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2016年5月30日
ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

  • delivered by exploit kits

インストール

マルウェアは、以下のファイルを作成します。

  • %User Startup%\!{unique ID}{random character 1}.lnk - component that automatically opens the image ransom note upon system startup
  • %User Startup%\!{unique ID}{random character 2}.lnk - component that automatically opens the HTML ransom note upon system startup
    where {unique ID} contains 12 hexadecimal characters
  • %ProgramData%\Z - deleted afterwards. This contains the installation date of the malware
  • %ProgramData%\!{unique ID}.key - deleted afterwards
  • %ProgramData%\!{unique ID}.bmp - lockscreen image
  • %ProgramData%\!{unique ID}.html - ransom note
  • %Desktop%\!{unique ID}.bmp - ransom image
  • %Desktop%\!{unique ID}.html - ransom note
  • %Desktop%\!{unique ID}.txt - ransom note
  • {folders containing encrypted files}\!{unique ID}.html - ransom note
  • {folders containing encrypted files}\!{unique ID}.txt - ransom note

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.. %ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)

マルウェアは、以下のファイルを作成します。

    マルウェアは、以下のプロセスを追加します。

    • {malware path}\rundll32.exe {malware path and filename}.dll,MSX{number}

      It copies the legitimate rundll32.exe to the same directory of the ransomware.

    自動実行方法

    マルウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。

    • %User Startup%\!{unique ID}.lnk
      where {unique ID} contains 12 hexadecimal characters

    (註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

    他のシステム変更

    マルウェアは、以下のファイルを改変します。

    • It encrypts files and appends the extension .cryp1

    その他

    マルウェアは、以下の拡張子をもつファイルを暗号化します。

    • .LYT
    • .LYX
    • .M
    • .M3D
    • .M3U
    • .M4A
    • .M4V
    • .MA
    • .MAC
    • .MAN
    • .MAP
    • .MAQ
    • .MAT
    • .MAX
    • .MB
    • .MBM
    • .MBOX
    • .MDB
    • .MDF
    • .MDN
    • .MDT
    • .ME
    • .MEF
    • .MELL
    • .MFD
    • .MFT
    • .MGCB
    • .MGMT
    • .MGMX
    • .MID
    • .MIN
    • .MKV
    • .MMAT
    • .MML
    • .MNG
    • .MNR
    • .MNT
    • .MOBI
    • .MOS
    • .MOV
    • .MP3
    • .MP4
    • .MPA
    • .MPF
    • .MPG
    • .MPO
    • .MRG
    • .MRXS
    • .MS11
    • .MSG
    • .MSI
    • .MT9
    • .MUD
    • .MWB
    • .MWP
    • .MXL
    • .MYD
    • .MYI
    • .MYL
    • .NCR
    • .NCT
    • .NDF
    • .NEF
    • .NFO
    • .NJX
    • .NLM
    • .NOTE
    • .NOW
    • .NRW
    • .NS2
    • .NS3
    • .NS4
    • .NSF
    • .NV2
    • .NYF
    • .NZB
    • .OBJ
    • .OC3
    • .OC4
    • .OC5
    • .OCE
    • .OCI
    • .OCR
    • .ODB
    • .ODG
    • .ODM
    • .ODO
    • .ODP
    • .ODS
    • .ODT
    • .OFL
    • .OFT
    • .OMF
    • .OPLC
    • .OQY
    • .ORA
    • .ORF
    • .ORT
    • .ORX
    • .OTA
    • .OTG
    • .OTI
    • .OTP
    • .OTS
    • .OTT
    • .OVP
    • .OVR
    • .OWC
    • .OWG
    • .OYX
    • .OZB
    • .OZJ
    • .OZT
    • .P12
    • .P7S
    • .P96
    • .P97
    • .PAGES
    • .PAL
    • .PAN
    • .PANO
    • .PAP
    • .PAQ
    • .PAS
    • .PB
    • .PBM
    • .PC1
    • .PC2
    • .PC3
    • .PCD
    • .PCS
    • .PCT
    • .PCX
    • .PDB
    • .PDD
    • .PDF
    • .PDM
    • .PDN
    • .PDS
    • .PDT
    • .PE4
    • .RT
    • .RTD
    • .RTF
    • .RTX
    • .RUN
    • .RW2
    • .RWL
    • .RZK
    • .RZN
    • .S2MV
    • .S3M
    • .SAF
    • .SAI
    • .SAM
    • .SAVE
    • .SBF
    • .SCAD
    • .SCC
    • .SCH
    • .SCI
    • .SCM
    • .SCT
    • .SCV
    • .SCW
    • .SDB
    • .SDF
    • .SDM
    • .SDOC
    • .SDW
    • .SEP
    • .SFC
    • .SFW
    • .SGM
    • .SH
    • .SIG
    • .SITX
    • .SK1
    • .SK2
    • .SKM
    • .SLA
    • .SLD
    • .SLDX
    • .SLK
    • .SLN
    • .SLS
    • .SMF
    • .SMIL
    • .SMS
    • .SOB
    • .SPA
    • .SPE
    • .SPH
    • .SPJ
    • .SPP
    • .SPQ
    • .SPR
    • .SQB
    • .SQL
    • .SQLITE3
    • .SQLITEDB
    • .SR2
    • .SRT
    • .SRW
    • .SSA
    • .SSK
    • .ST
    • .STC
    • .STD
    • .STE
    • .STI
    • .STM
    • .STN
    • .STP
    • .STR
    • .STW
    • .STY
    • .SUB
    • .SUMO
    • .SVA
    • .SVF
    • .SVG
    • .SVGZ
    • .SWF
    • .SXC
    • .SXD
    • .SXG
    • .SXI
    • .SXM
    • .SXW
    • .T2B
    • .TAB
    • .TAR
    • .TB0
    • .TBK
    • .TBN
    • .TCX
    • .TDF
    • .TDT
    • .TE
    • .TEX
    • .TEXT
    • .TF
    • .TFC
    • .TG4
    • .TGA
    • .TGZ
    • .THM
    • .THP
    • .TIF
    • .TIFF
    • .TJP
    • .TLB
    • .TLC
    • .TM
    • .TM2
    • .TMD
    • .TMP
    • .TMV
    • .TMX
    • .TN
    • .TNE
    • .TPC
    • .TPI
    • .TRM
    • .TVJ
    • .TXT
    • .U3D
    • .U3I
    • .UDB
    • .UFO
    • .UFR
    • .UGA
    • .UNX
    • .UOF
    • .UOP
    • .UOT
    • .UPD
    • .USR
    • .UTF8
    • .UTXT
    • .V12
    • .VB
    • .VBR
    • .VBS
    • .VCF
    • .VCT
    • .VCXPROJ
    • .VDA
    • .VDB
    • .VDI
    • .VEC
    • .VFF
    • .VMDK
    • .VML
    • .VMX
    • .VNT
    • .VOB
    • .VPD
    • .VPE
    • .VRML
    • .VRP
    • .VSD
    • .VSDM
    • .VSDX
    • .VSM
    • .VST
    • .VSTX
    • .VUE
    • .VW
    • .WAV
    • .WB1
    • .WBC
    • .WBD
    • .WBK
    • .WBM
    • .WBMP
    • .WBZ
    • .WCF
    • .WDB
    • .WDP
    • .WEBP
    • .WGZ
    • .WIRE
    • .WKS
    • .WMA
    • .WMDB
    • .WMF
    • .WMV
    • .WN
    • .WP
    • .WP4
    • .WP5
    • .WP6
    • .WP7
    • .WPA
    • .WPD
    • .WPE
    • .WPG
    • .WPL
    • .WPS
    • .WPT
    • .WPW
    • .WRI
    • .WSC
    • .WSD
    • .WSF
    • .WSH
    • .WTX
    • .WVL
    • .X3D
    • .X3F
    • .XAR
    • .XCODEPROJ
    • .XDB
    • .XDL
    • .XHTM
    • .XHTML
    • .XLC
    • .XLD
    • .XLF
    • .XLGC
    • .XLM
    • .XLR
    • .XLS
    • .XLSB
    • .XLSM
    • .XLSX
    • .XLT
    • .XLTM
    • .XLTX
    • .XLW
    • .XML
    • .XPM
    • .XPS
    • .XWP
    • .XY3
    • .XYP
    • .XYW
    • .YAL
    • .YBK
    • .YML
    • .YSP
    • .YUV
    • .Z3D
    • .ZABW
    • .ZDB
    • .ZDC
    • .ZIF
    • .ZIP
    • .ZIPX
    • .ZW
    • .3DM
    • .3DS
    • .3G2
    • .3GP
    • .4DB
    • .4DL
    • .4MP
    • .7Z
    • .A3D
    • .ABM
    • .ABS
    • .ABW
    • .ACCDB
    • .ACT
    • .ADN
    • .ADP
    • .AES
    • .AF2
    • .AF3
    • .AFT
    • .AFX
    • .AGIF
    • .AGP
    • .AHD
    • .AI
    • .AIC
    • .AIF
    • .AIM
    • .ALBM
    • .ALF
    • .ANI
    • .ANS
    • .APD
    • .APK
    • .APM
    • .APNG
    • .APP
    • .APS
    • .APT
    • .APX
    • .ARC
    • .ART
    • .ARW
    • .ASC
    • .ASE
    • .ASF
    • .ASK
    • .ASM
    • .ASP
    • .ASPX
    • .ASW
    • .ASX
    • .ASY
    • .ATY
    • .AVI
    • .AWDB
    • .AWP
    • .AWT
    • .AWW
    • .AZZ
    • .BAD
    • .BAY
    • .BBS
    • .BDB
    • .BDP
    • .BDR
    • .BEAN
    • .BIB
    • .BM2
    • .BMP
    • .BMX
    • .BNA
    • .BND
    • .BOC
    • .BOK
    • .BRD
    • .BRK
    • .BRN
    • .BRT
    • .BSS
    • .BTD
    • .BTI
    • .BTR
    • .BZ2
    • .C
    • .C2
    • .C4
    • .C4D
    • .CAL
    • .CALS
    • .CAN
    • .CD5
    • .CDB
    • .CDC
    • .CDG
    • .CDMM
    • .CDMT
    • .CDR
    • .CDR3
    • .CDR4
    • .CDR6
    • .CDT
    • .CER
    • .CF
    • .CFG
    • .CFM
    • .CFU
    • .CGI
    • .CGM
    • .CIMG
    • .CIN
    • .CIT
    • .CKP
    • .CLASS
    • .CLKW
    • .CMA
    • .CMD
    • .CMX
    • .CNM
    • .CNV
    • .COLZ
    • .CPC
    • .CPD
    • .CPG
    • .CPP
    • .CPS
    • .CPT
    • .CPX
    • .CRD
    • .CRT
    • .CRWL
    • .CRYPT
    • .CS
    • .CSR
    • .CSS
    • .CSV
    • .CSY
    • .CUE
    • .CV5
    • .CVG
    • .CVI
    • .CVS
    • .CVX
    • .CWT
    • .CXF
    • .CYI
    • .DAD
    • .DAF
    • .DB
    • .DB3
    • .DBF
    • .DBK
    • .DBT
    • .DBV
    • .DBX
    • .DCA
    • .DCB
    • .DCH
    • .DCS
    • .DCT
    • .DCU
    • .DCX
    • .DDL
    • .DDOC
    • .DDS
    • .DED
    • .DF1
    • .DG
    • .DGN
    • .DGS
    • .DHS
    • .DIB
    • .DIF
    • .DIP
    • .DIZ
    • .DJV
    • .DJVU
    • .DM3
    • .DMI
    • .DMO
    • .DNC
    • .DNE
    • .DOC
    • .DOCB
    • .DOCM
    • .DOCX
    • .DOCZ
    • .DOT
    • .DOTM
    • .DOTX
    • .DP1
    • .DPP
    • .DPX
    • .DQY
    • .DRW
    • .DRZ
    • .DSK
    • .DSN
    • .DSV
    • .DT
    • .DT2
    • .DTA
    • .DTD
    • .DTSX
    • .DTW
    • .DVI
    • .DVL
    • .DWG
    • .DX
    • .DXB
    • .DXF
    • .DXL
    • .ECO
    • .ECW
    • .ECX
    • .EDB
    • .EFD
    • .EGC
    • .EIO
    • .EIP
    • .EIT
    • .EMD
    • .EMF
    • .EML
    • .EMLX
    • .EP
    • .EPF
    • .EPP
    • .EPS
    • .EPSF
    • .EQL
    • .ERF
    • .ERR
    • .ETF
    • .ETX
    • .EUC
    • .EXR
    • .FAL
    • .FAQ
    • .FAX
    • .FB2
    • .FB3
    • .FBL
    • .FBX
    • .FCD
    • .FCF
    • .FDB
    • .FDF
    • .FDR
    • .FDS
    • .FDT
    • .FDX
    • .FDXT
    • .FES
    • .FFT
    • .FH10
    • .FH11
    • .FH3
    • .FH4
    • .FH5
    • .FH6
    • .FH7
    • .FH8
    • .FIC
    • .FID
    • .FIF
    • .FIG
    • .FIL
    • .FL
    • .FLA
    • .FLI
    • .FLR
    • .FLV
    • .FM5
    • .FMV
    • .FODT
    • .FOL
    • .FP3
    • .FP4
    • .FP5
    • .FP7
    • .FPOS
    • .FPT
    • .FPX
    • .FRM
    • .FRT
    • .FT10
    • .FT11
    • .FT7
    • .FT8
    • .FT9
    • .FTN
    • .FWDN
    • .FXC
    • .FXG
    • .FZB
    • .FZV
    • .GADGET
    • .GBK
    • .GBR
    • .GCDP
    • .GDB
    • .GDOC
    • .GED
    • .GEM
    • .GEO
    • .GFB
    • .GGR
    • .GIF
    • .GIH
    • .GIM
    • .GIO
    • .GLOX
    • .GPD
    • .GPG
    • .GPN
    • .GPX
    • .GRO
    • .GROB
    • .GRS
    • .GSD
    • .GTHR
    • .GTP
    • .GV
    • .GWI
    • .GZ
    • .H
    • .HBK
    • .HDB
    • .HDP
    • .HDR
    • .HHT
    • .HIS
    • .HPG
    • .HPGL
    • .HPI
    • .HPL
    • .HS
    • .HTC
    • .HTM
    • .HTML
    • .HWP
    • .HZ
    • .I3D
    • .IB
    • .IBD
    • .IBOOKS
    • .ICN
    • .ICON
    • .IDC
    • .IDEA
    • .IDX
    • .IFF
    • .IGT
    • .IGX
    • .IHX
    • .IIL
    • .IIQ
    • .IMD
    • .INDD
    • .INFO
    • .INK
    • .IPF
    • .IPX
    • .ITDB
    • .ITW
    • .IWI
    • .J2C
    • .J2K
    • .JAR
    • .JAS
    • .JAVA
    • .JB2
    • .JBMP
    • .JBR
    • .JFIF
    • .JIA
    • .JIS
    • .JKS
    • .JNG
    • .JOE
    • .JP1
    • .JP2
    • .JPE
    • .JPEG
    • .JPG
    • .JPG2
    • .JPS
    • .JPX
    • .JRTF
    • .JS
    • .JSP
    • .JTX
    • .JWL
    • .JXR
    • .KDB
    • .KDBX
    • .KDC
    • .KDI
    • .KDK
    • .KES
    • .KEY
    • .KIC
    • .KLG
    • .KML
    • .KMZ
    • .KNT
    • .KON
    • .KPG
    • .KWD
    • .LAY
    • .LAY6
    • .LBM
    • .LBT
    • .LDF
    • .LGC
    • .LIS
    • .LIT
    • .LJP
    • .LMK
    • .LNT
    • .LP2
    • .LRC
    • .LST
    • .LTR
    • .LTX
    • .LUA
    • .LUE
    • .LUF
    • .LWO
    • .LWP
    • .LWS

      対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 12.558.07
    初回 VSAPI パターンリリース日 2016年5月30日
    VSAPI OPR パターンバージョン 12.559.00
    VSAPI OPR パターンリリース日 2016年5月31日

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

    手順 3

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    手順 4

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %User Startup%\!{unique ID}.lnk
    • %User Startup%\!{unique ID}{random character 1}.lnk
    • %User Startup%\!{unique ID}{random character 2}.lnk
    • !{unique ID}.bmp
    • !{unique ID}.html
    • !{unique ID}.txt

    手順 5

    コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_WALTRIX.JP」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください