TROJ_CRYPTESLA.CG

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\{random file name}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

• %Application Data%\key.dat
• %Application Data%\log.html ->list of encrypted files
• %User Profile%\My Documents\RECOVERY_FILE.TXT
• {File path of encrypted files}\HELP_TO_SAVE_FILES.txt ->ransom note
• %User Profile%\Desktop\HELP_TO_SAVE_FILES.bmp ->ransom wallpaper
• %User Profile%\Desktop\Save_Files.lnk ->shortcut of itself

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AVrSvc = "%Application Data%\{random file name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AVrSvc = "%Application Data%\{random file name}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%User Profile%\Desktop\HELP_TO_SAVE_FILES.bmp"

(註：変更前の上記レジストリ値は、「{User defined}」となります。)

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://ipinfo.io/ip

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}f7s4regu6hn.dlosrngis35.com/ping.php
• {BLOCKED}jf7s4regu6hn.anfeua74x36.com/ping.php
• {BLOCKED}jf7s4regu6hn.tor2web.blutmagie.de:443
• {BLOCKED}4jf7s4regu6hn.tor2web.org:443

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• sql
• mp4
• 7z
• rar
• m4a
• wma
• avi
• wmv
• csv
• d3dbsp
• zip
• sie
• sum
• ibank
• t13
• t12
• qdf
• gdb
• tax
• pkpass
• bc6
• bc7
• bkp
• qic
• bkf
• sidn
• sidd
• mddata
• itl
• itdb
• icxs
• hvpl
• hplg
• hkdb
• mdbackup
• syncdb
• gho
• cas
• svg
• map
• wmo
• itm
• sb
• fos
• mov
• vdf
• ztmp
• sis
• sid
• ncf
• menu
• layout
• dmp
• blob
• esm
• vcf
• vtf
• dazip
• fpk
• mlx
• kf
• iwd
• vpk
• tor
• psk
• rim
• w3x
• fsh
• ntl
• arch00
• lvl
• snx
• cfr
• ff
• vpp_pc
• lrf
• m2
• mcmeta
• vfs0
• mpqge
• kdb
• db0
• dba
• rofl
• hkx
• bar
• upk
• das
• iwi
• litemod
• asset
• forge
• ltx
• bsa
• apk
• re4
• sav
• lbf
• slm
• bik
• epk
• rgss3a
• pak
• big
• wallet
• wotreplay
• xxx
• desc
• py
• m3u
• flv
• js
• css
• rb
• png
• jpeg
• txt
• p7c
• p7b
• p12
• pfx
• pem
• crt
• cer
• der
• x3f
• srw
• pef
• ptx
• r3d
• rw2
• rwl
• raw
• raf
• orf
• nrw
• mrwref
• mef
• erf
• kdc
• dcr
• cr2
• crw
• bay
• sr2
• srf
• arw
• 3fr
• dng
• jpe
• jpg
• cdr
• indd
• ai
• eps
• pdf
• pdd
• psd
• dbfmdf
• wb2
• rtf
• wpd
• dxg
• xf
• dwg
• pst
• accdb
• mdb
• pptm
• pptx
• ppt
• xlk
• xlsb
• xlsm
• xlsx
• xls
• wps
• docm
• docx
• doc
• odb
• odc
• odm
• odp
• ods
• odt

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {Original Filename}.exx

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。