TROJ_CRYPCTB.TMC
別名:
Ransom:Win32/Critroni.A (MICROSOFT), a variant of Win32/Injector.BRJT trojan (NOD32)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 827,392 bytes
タイプ EXE
メモリ常駐 はい
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Profile%\My Documents\Decrypt All Files {random characters}.bmp - image used as wallpaper
- %User Profile%\My Documents\Decrypt All Files {random characters}.txt - ransom note in text file
- %User Profile%\My Documents\{random characters}.html - contains ransom note and list of encrypted files
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
自動実行方法
マルウェアは、以下のファイルを作成します。
- C:\Windows\Tasks\{random filename}.job
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\My Documents\Decrypt All Files {random characters}.bmp"
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
その他
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- 7z
- arj
- bz2
- cab
- chm
- cpio
- dmg
- flv
- gz
- lha
- lzh
- lzma
- rar
- swm
- tar
- tbz2
- tgz
- wim
- xar
- xz
- z
- zip
- 3gp
- aac
- ans
- ape
- asc
- asm
- asp
- aspx
- avi
- awk
- bas
- bat
- bmp
- c
- cs
- cls
- clw
- cmd
- cpp
- csproj
- css
- ctl
- cxx
- def
- dep
- dlg
- dsp
- dsw
- eps
- f
- f77
- f90
- f95
- fla
- flac
- frm
- gif
- h
- hpp
- hta
- htm
- html
- hxx
- ico
- idl
- inc
- ini
- inl
- java
- jpeg
- jpg
- js
- la
- mak
- manifest
- wmv
- mov
- mp3
- mp4
- mpe
- mpeg
- mpg
- m4a
- ofr
- ogg
- pac
- pas
- php
- php3
- php4
- php5
- phptml
- pl
- pm
- png
- ps
- py
- pyo
- ra
- rb
- rc
- reg
- rka
- rm
- rtf
- sed
- sh
- shn
- shtml
- sln
- sql
- srt
- swa
- tcl
- tex
- tiff
- tta
- txt
- vb
- vcproj
- vbs
- wav
- wma
- wv
- xml
- xsd
- xsl
- xslt