解析者: Michael Jay Villanueva   
 別名:

Ransom:Win32/ZCryptor.A (Microsoft); Trojan.NSIS.Agent.pw (Kaspersky); W32.Cryptolocker.AQ (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 558,533 bytes
タイプ EXE
発見日 2016年5月25日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\zcrypt.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

ワームは、以下のファイルを作成します。

  • %Application Data%\cid.ztxt
  • %Application Data%\public.key
  • %Application Data%\AnimGif.dll
  • %Application Data%\CloseKillock.mdR
  • %Application Data%\Rifacimento.M

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • zcrypt1.0

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
zcrypt = {path of the executed malware}

ワームは、以下のファイルを作成します。

  • {Removable Drive Letter}:\autorun.inf

ワームは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。

  • %User Startup%\zcrypt.lnk

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {Removable Drive Letter}:\System.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}rewq.ml/rsa/rsa.php?computerid={victim ID}&private=1

ワームは、以下の拡張子をもつファイルを暗号化します。

  • .3fr
  • .accdb
  • .apk
  • .arw
  • .aspx
  • .avi
  • .bak
  • .bay
  • .bmp
  • .cdr
  • .cer
  • .cgi
  • .class
  • .cpp
  • .cr2
  • .crt
  • .crw
  • .dbf
  • .dcr
  • .der
  • .dng
  • .doc
  • .docx
  • .dwg
  • .dxg
  • .emlx
  • .eps
  • .erf
  • .gz
  • .html
  • .indd
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .jsp
  • .kdc
  • .log
  • .mdb
  • .mdf
  • .mef
  • .mp4
  • .mpeg
  • .msg
  • .nrw
  • .odb
  • .odp
  • .ods
  • .odt
  • .orf
  • .p12
  • .p7b
  • .p7c
  • .pdb
  • .pdd
  • .pdf
  • .pef
  • .pem
  • .pfx
  • .php
  • .png
  • .ppt
  • .pptx
  • .psd
  • .pst
  • .ptx
  • .r3d
  • .raf
  • .raw
  • .rtf
  • .rw2
  • .rwl
  • .sav
  • .sql
  • .srf
  • .srw
  • .swf
  • .tar
  • .tar
  • .txt
  • .vcf
  • .wb2
  • .wmv
  • .wpd
  • .xls
  • .xlsx
  • .xml
  • .zip

ワームは、以下のファイル名を使用し、暗号化されたファイルを改称します。

  • {original filename}.zcrypt

ただし、情報公開日現在、このWebサイトにはアクセスできません。