TROJ_RANSOM.USR
W32/Filecoder.AY (Fortinet), Trojan-Banker.Win32.Banker (Ikarus), Trojan-Ransom.Win32.Rakhni.g (Kaspersky), Win32/Filecoder.AY trojan (NOD32),
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\msg.exe
- %System Root%\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\.ACCDB
{Default} = "msg"
HKEY_CLASSES_ROOT\.DOCX
{Default} = "msg"
HKEY_CLASSES_ROOT\.XLSX
{Default} = "msg"
HKEY_CLASSES_ROOT\msg\shell\
open\command
{Default} = ""%System Root%\msg.exe" "%1""
HKEY_CLASSES_ROOT\.psd
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.7Z
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.ACCDB
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.DOC
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.DOCX
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.GIF
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.JPG
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.MDB
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.PDF
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.PNG
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.PSD
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.RTF
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.RAR
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.XLS
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.XLSX
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.XML
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
.ZIP
{Default} = "msg"
HKEY_CURRENT_USER\Software\Classes\
msg\shell\open\
command
{Default} = ""%System Root%\msg.exe" "%1""
マルウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\.ACCDB
HKEY_CLASSES_ROOT\.DOCX
HKEY_CLASSES_ROOT\.XLSX
HKEY_CLASSES_ROOT\msg
HKEY_CLASSES_ROOT\msg\shell
HKEY_CLASSES_ROOT\msg\shell\
open
HKEY_CLASSES_ROOT\msg\shell\
open\command
HKEY_CURRENT_USER\Software\Classes\
.7Z
HKEY_CURRENT_USER\Software\Classes\
.ACCDB
HKEY_CURRENT_USER\Software\Classes\
.DOC
HKEY_CURRENT_USER\Software\Classes\
.DOCX
HKEY_CURRENT_USER\Software\Classes\
.GIF
HKEY_CURRENT_USER\Software\Classes\
.JPG
HKEY_CURRENT_USER\Software\Classes\
.MDB
HKEY_CURRENT_USER\Software\Classes\
.PDF
HKEY_CURRENT_USER\Software\Classes\
.PNG
HKEY_CURRENT_USER\Software\Classes\
.PSD
HKEY_CURRENT_USER\Software\Classes\
.RAR
HKEY_CURRENT_USER\Software\Classes\
.RTF
HKEY_CURRENT_USER\Software\Classes\
.XLS
HKEY_CURRENT_USER\Software\Classes\
.XLSX
HKEY_CURRENT_USER\Software\Classes\
.XML
HKEY_CURRENT_USER\Software\Classes\
.ZIP
HKEY_CURRENT_USER\Software\Classes\
msg
HKEY_CURRENT_USER\Software\Classes\
msg\shell
HKEY_CURRENT_USER\Software\Classes\
msg\shell\open
HKEY_CURRENT_USER\Software\Classes\
msg\shell\open\
command
マルウェアは、以下のレジストリ値を変更します。
HKEY_CLASSES_ROOT\.7Z
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"WinRAR"」となります。)
HKEY_CLASSES_ROOT\.doc
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"Word.Document.8"」となります。)
HKEY_CLASSES_ROOT\.gif
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"giffile" 」となります。)
HKEY_CLASSES_ROOT\.jpg
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"jpegfile" 」となります。)
HKEY_CLASSES_ROOT\.mdb
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"Access.Application.11"」となります。)
HKEY_CLASSES_ROOT\.pdf
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"AcroExch.Document"」となります。)
HKEY_CLASSES_ROOT\.png
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"pngfile"」となります。)
HKEY_CLASSES_ROOT\.RAR
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"WinRAR" 」となります。)
HKEY_CLASSES_ROOT\.rtf
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"Word.RTF.8"」となります。)
HKEY_CLASSES_ROOT\.xls
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"Excel.Sheet.8"」となります。)
HKEY_CLASSES_ROOT\.xml
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"xmlfile"」となります。)
HKEY_CLASSES_ROOT\.zip
{Default} = "msg"
(註:変更前の上記レジストリ値は、「"WinRAR.ZIP"」となります。)