TROJ_CRYPTESLA.XXQP
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、Internet Explorer(IE)のゾーン設定を変更します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %AppDataLocal%\{Random Filename}.exe
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
マルウェアは、以下のファイルを作成します。
- %AppDataLocal%\log.html - Contains the list of encrypted files.
- %Desktop%\HELP_RESTORE_FILES.bmp
- %Desktop%\HELP_RESTORE_FILES.txt
- %Desktop%\Save_Files.lnk - Shortcut file pointing to the dropped copy
- %AppDataLocal%\key.dat
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
マルウェアは、以下の無害なファイルを作成します。
- HELP_RESTORE_FILES_{random}.bmp
- HELP_RESTORE_FILES_{random}.txt
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
mssvc = "%AppDataLocal%\{Random Filename}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
mssvc = "%AppDataLocal%\{Random Filename}.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"
(註:変更前の上記レジストリ値は、「{User Preferences}」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"
(註:変更前の上記レジストリ値は、「{User Preferences}」となります。)
HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\HELP_RESTORE_FILES.bmp"
(註:変更前の上記レジストリ値は、「{User Preferences}」となります。)
プロセスの終了
マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- taskmgr
- procexp
- regedit
- msconfig
- cmd.exe
Webブラウザのホームページおよび検索ページの変更
マルウェアは、IEのゾーン設定を変更します。
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- ipinfo.io/ip
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}bzor5ybfto.tor2web.{BLOCKED}gie.de:443
- http://{BLOCKED}bzor5ybfto.tor2web.org:443
- http://{BLOCKED}8jhfali7fda.{BLOCKED}iewo492k.com/ping1.php
- http://{BLOCKED}ncie82iaeow0.{BLOCKED}948sekod.com/ping1.php
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- sql
- mp4
- 7z
- rar
- m4a
- wma
- avi
- wmv
- csv
- d3dbsp
- zip
- sie
- sum
- ibank
- t13
- t12
- qdf
- gdb
- tax
- pkpass
- bc6
- bc7
- bkp
- qic
- bkf
- sidn
- sidd
- mdd
- ata
- itl
- itdb
- icxs
- hvpl
- hplg
- hkdbmdbackup
- syncdb
- gho
- cas
- svg
- map
- wmo
- itm
- sb
- fos
- mov
- vdf
- ztmp
- sis
- sid
- ncf
- menu
- layout
- dmp
- blob
- esm
- vcf
- vtf
- dazip
- fpk
- mlx
- kf
- iwd
- vpk
- tor
- psk
- rim
- w3x
- fsh
- ntl
- arch00
- lvl
- snx
- cfr
- ff
- vpp_pc
- lrf
- m2
- mcmeta
- vfs0
- mpqge
- kdb
- db0
- db
- rofl
- hkx
- bar
- upk
- das
- iwi
- litemod
- asset
- forge
- ltx
- bsa
- apk
- re4
- sav
- lbf
- slm
- bik
- epk
- rgss3a
- pak
- big
- unity3d
- wotreplay
- xxx
- desc
- py
- m3u
- flv
- js
- css
- rb
- png
- jpeg
- txt
- p7c
- p7b
- p12
- pfx
- pem
- crt
- cer
- der
- x3f
- srw
- pef
- ptx
- r3d
- rw2
- rwl
- raw
- raf
- orf
- nrw
- mrwref
- mef
- erf
- kdc
- dcr
- cr2
- crw
- bay
- sr2
- srf
- arw
- 3fr
- dng
- jpe
- jpg
- cdr
- indd
- ai
- eps
- pdd
- psd
- dbf
- mdf
- wb2
- rtf
- wpd
- dxg
- xf
- dwg
- pst
- accdb
- mdb
- pptm
- pptx
- ppt
- xlk
- xlsb
- xlsm
- xlsx
- xls
- wps
- docm
- docx
- doc
- odb
- odc
- odm
- odp
- ods
- odt
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {Original Filename}.exx
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。