RANSOM_CRYPACP.B
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %All Users Profile%\Desktop\how to decrypt files.lnk
- %System Root%\{random numbers}\lsass86vl.exe
- %System Root%\{random numbers}\howtodecryptaesfiles.htm
- %System Root%\{random numbers}\howtodecryptaesfiles2.htm
- %System Root%\{random numbers}\{random numbers}.list
- %System Root%\ProgramData\svtstcrs\stplsctkvbs.dll
- %System Root%\ProgramData\svcfnmainstvestvs\stppthmainfv.dll
- %System Root%\ProgramData\svcfnmainstvestvs\xerrors.txt
- %System Root%\ProgramData\{random numbers 1}\svchost.exe
- %System Root%\ProgramData\{random numbers 2}\svchost.exe
- %System Root%\ProgramData\{random numbers 3}\{random numbers}.bat
- %System Root%\ProgramData\{random numbers 3}\{random numbers}.txt
- %System Root%\ProgramData\{random numbers 3}\{random numbers}.dlls
- %System Root%\ProgramData\{random numbers 4}\{random numbers}.dll
- %System Root%\ProgramData\{random numbers 4}\{random numbers}fspall1.dll
- %System Root%\ProgramData\{random numbers 4}\BKR{random numbers}.dll
- %System Root%\ProgramData\{random numbers 4}\BKR2{random numbers}.dll
- %System Root%\ProgramData\{random numbers 4}\BDR{random numbers}.dll
- %System%\{random numbers}.dll
- %System%\default2.sfx
- %System%\decryptaesfiles.htm
- %System%\btlogoffusrsmtv.bat
- %System%\wblsys32vt86exkdll.dll
- %System Root%\{random numbers}\svchost.exe
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- %System Root%\{random numbers}
- %System Root%\ProgramData\svcfnmainstvestvs
- %System Root%\ProgramData\svtstcrs
- %System Root%\ProgramData\{random numbers 1}
- %System Root%\ProgramData\{random numbers 2}
- %System Root%\ProgramData\{random numbers 3}
- %System Root%\ProgramData\{random numbers 4}
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
ImagePath = {malware file path}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
DisplayName = "Windows Security Accounts Manager"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
Description = "The startup of this service signals to other services that the Security Accounts Manager (SAM) is ready to accept other requests. Disabling this service will prevent other services in the system from being notified when the SAM is ready, which may in turn cause those services to fail to start correctly. This service should not be disabled."
マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
%System Root%\{random numbers}\howtodecryptaesfiles = %System Root%\{random numbers}\howtodecryptaesfiles.htm
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WinSamSs
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
ForceQueueMode = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
IncludeShutdownErrs = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
Disabled = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
DisableArchive = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
DisableQueue = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
DontSendAdditionalData = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
ForceQueue = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\Windows Error Reporting
LoggingDisabled = "1"
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
IncludeMicrosoftApps = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
IncludeKernelFaults = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
DoReport = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
ShowUI = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
PCHealth\ErrorReporting
AllOrNone = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\CrashControl
CrashDumpEnabled = "0"
(註:変更前の上記レジストリ値は、「3」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\CrashControl
LogEvent = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\FastUserSwitchingCompatibility
Start = "4"
(註:変更前の上記レジストリ値は、「3」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\RemoteRegistry
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sr
Start = "4"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SSDPSRV
Start = "4"
(註:変更前の上記レジストリ値は、「3」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\WebClient
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
その他
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original filename}(!! to get password email id {victim ID} brinfo15@gmail.com!!).exe