RANSOM_CRYPAURA.SHLD
Trojan.Ransom.CryptoShield (ALYac), Ransom.CryptoShield (Malwarebytes), Ransom:Win32/Shieldcrypt.A (Microsoft)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Data%\MicroSoftTMP\system32\winlogon.exe
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- DBWinMutex
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Defender Window = "%Program Data%\MicroSoftTMP\system32\winlogon.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*Defender Window = "%Program Data%\MicroSoftTMP\system32\winlogon.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Defender Window Updater = "{malware path}\{malware filename}.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*Defender Window Updater = "{malware path}\{malware filename}.exe"
作成活動
マルウェアは、以下のファイルを作成します。
- {folder of encrypted files}\# RESTORING FILES #.HTML
- {folder of encrypted files}\# RESTORING FILES #.TXT
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.{BLOCKED}.62.136/js/prettyPhoto/images/prettyPhoto/default/infromation.php
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .3G2
- .3GP
- .7Z
- .AB4
- .ACH
- .ADB
- .ADS
- .AIT
- .AL
- .APJ
- .ASF
- .ASM
- .ASP
- .ASX
- .BACK
- .BANK
- .BGT
- .BIK
- .BKF
- .BKP
- .BPW
- .C
- .CDF
- .CDR
- .CDX
- .CE1
- .CE2
- .ODF
- .ODG
- .ODP
- .ODS
- .OIL
- .ONE
- .OTH
- .OTP
- .OTS
- .P12
- .P7B
- .P7C
- .PAS
- .PAT
- .PBO
- .PCT
- .PEM
- .PHP
- .PIP
- .PLC
- .POT
- .POTM
- .POTX
- .PPAM
- .PPS
- .PPSM
- .PPSX
- .PRF
- .PSAFE3
- .PSPIMAGE
- .PUB
- .PUZ
- .PY
- .QBA
- .QBW
- .R3D
- .RAF
- .RAR
- .RAT
- .RM
- .RWZ
- .SAS7BDAT
- .SAY
- .SD0
- .SDA
- .SNP
- .SRF
- .SRT
- .ST4
- .ST5
- .ST6
- .ST7
- .ST8
- .STC
- .STD
- .STI
- .STX
- .SXC
- .SXI
- .SXM
- .VOB
- .VSX
- .VTX
- .WAV
- .WB2
- .WLL
- .WMV
- .WPD
- .X11
- .XLA
- .XLAM
- .XLB
- .XLC
- .XLL
- .XLM
- .XLR
- .XLSB
- .XLT
- .XLTM
- .XLTX
- .M4A
- .WMA
- .D3DBSP
- .XLW
- .XPP
- .XSN
- .YUV
- .ZIP
- .SIE
- .UNREC
- .SCAN
- .SUM
- .T13
- .T12
- .QDF
- .TAX
- .PKPASS
- .BC6
- .BC7
- .SIDN
- .SIDD
- .MDDATA
- .ITL
- .ICXS
- .HVPL
- .HPLG
- .HKDB
- .MDBACKUP
- .SYNCDB
- .GHO
- .CAS
- .WMO
- .ITM
- .SB
- .FOS
- .MOV
- .VDF
- .ZTMP
- .SIS
- .SID
- .NCF
- .MENU
- .LAYOUT
- .DMP
- .BLOB
- .ESM
- .VCF
- .VTF
- .DAZIP
- .FPK
- .MLX
- .KF
- .IWD
- .VPK
- .TOR
- .PSK
- .RIM
- .W3X
- .FSH
- .NTL
- .ARCH00
- .LVL
- .SNX
- .CFR
- .FF
- .VPP_PC
- .LRF
- .M2
- .MCMETA
- .VFS0
- .MPQGE
- .DB0
- .DBA
- .ROFL
- .HKX
- .BAR
- .UPK
- .DAS
- .LITEMOD
- .ASSET
- .FORGE
- .BSA
- .APK
- .RE4
- .LBF
- .SLM
- .EPK
- .RGSS3A
- .PAK
- .BIG
- .WALLET
- .WOTREPLAY
- .XXX
- .DESC
- .M3U
- .JS
- .RB
- .1CD
- .DBF
- .DT
- .CF
- .CFU
- .MXL
- .EPF
- .KDBX
- .VRP
- .GRS
- .GEO
- .ST
- .PFF
- .MFT
- .EFD
- .3DM
- .3DS
- .RIB
- .MA
- .SLDASM
- .SLDPRT
- .MAX
- .BLEND
- .LWO
- .LWS
- .M3D
- .MB
- .OBJ
- .X
- .X3D
- .MOVIE
- .BYU
- .C4D
- .FBX
- .DGN
- .DWG
- .4DB
- .4DL
- .4MP
- .ABS
- .ACCDB
- .ACCDC
- .ACCDE
- .ACCDR
- .ACCDT
- .ACCDW
- .ACCFT
- .ADN
- .A3D
- .ADP
- .AFT
- .AHD
- .ALF
- .ASK
- .AWDB
- .AZZ
- .BDB
- .BND
- .BOK
- .THUMB
- .TJP
- .TM2
- .TN
- .TPI
- .UFO
- .UGA
- .USERTILE-MS
- .VDA
- .VFF
- .VPE
- .VST
- .WB1
- .WBC
- .WBD
- .WBM
- .WBMP
- .WBZ
- .WDP
- .WEBP
- .WPB
- .WPE
- .WVL
- .X3F
- .Y
- .YSP
- .ZIF
- .CDR4
- .CDR6
- .CDRW
- .JPEG
- .DJVU
- .DDOC
- .CSS
- .PPTM
- .RAW
- .CPT
- .JPG
- .JPE
- .JP2
- .PCX
- .PDN
- .PNG
- .PSD
- .TGA
- .TIFF
- .TIF
- .HDP
- .XPM
- .AI
- .PS
- .WMF
- .EMF
- .ANI
- .APNG
- .FLC
- .FB2
- .FB3
- .FLI
- .MNG
- .SMIL
- .SVG
- .MOBI
- .SWF
- .HTML
- .XLS
- .XLSX
- .XLSM
- .XHTM
- .MRWREF
- .XF
- .PST
- .BD
- .TAR
- .GZ
- .MKV
- .XML
- .XMLX
- .DAT
- .MCL
- .MTE
- .CFG
- .MP3
- .BTR
- .BAK
- .BACKUP
- .CDB
- .CKP
- .CLKW
- .CMA
- .DACONNECTIONS
- .DACPAC
- .DAD
- .DADIAGRAMS
- .DAF
- .DASCHEMA
- .DB
- .DB-SHM
- .DB-WAL
- .DB2
- .DB3
- .DBC
- .DBK
- .DBS
- .DBT
- .DBV
- .DBX
- .DCB
- .DCT
- .DCX
- .DDL
- .DF1
- .DMO
- .DNC
- .DP1
- .DQY
- .DSK
- .DSN
- .DTA
- .DTSX
- .DXL
- .ECO
- .ECX
- .EDB
- .EMD
- .EQL
- .FCD
- .FDB
- .FIC
- .FID
- .FM5
- .FMP
- .FMP12
- .FMPSL
- .FOL
- .FP3
- .FP4
- .FP5
- .FP7
- .FPT
- .FZB
- .FZV
- .GDB
- .GWI
- .HDB
- .HIS
- .IB
- .IDC
- .IHX
- .ITDB
- .ITW
- .JTX
- .KDB
- .LGC
- .MAQ
- .MDB
- .MDBHTML
- .MDF
- .MDN
- .MDT
- .MRG
- .MUD
- .MWB
- .S3M
- .MYD
- .NDF
- .NS2
- .NS3
- .NS4
- .NSF
- .NV2
- .NYF
- .OCE
- .ODB
- .OQY
- .ORA
- .ORX
- .OWC
- .OWG
- .OYX
- .P96
- .P97
- .PAN
- .PDB
- .PDM
- .PHM
- .PNZ
- .PTH
- .PWA
- .QPX
- .QRY
- .QVD
- .RCTD
- .RDB
- .RPD
- .CER
- .CFP
- .CLASS
- .CLS
- .CMT
- .CPI
- .CPP
- .CRAW
- .CRT
- .CRW
- .CS
- .CSH
- .CSL
- .CSV
- .DAC
- .DBR
- .DDD
- .DER
- .DES
- .DGC
- .DNG
- .DRF
- .K2P
- .DTD
- .DXG
- .EBD
- .EML
- .EXF
- .FFD
- .FFF
- .FH
- .FHD
- .FLA
- .FLAC
- .FLV
- .FM
- .GRAY
- .GREY
- .GRW
- .GRY
- .H
- .HPP
- .IBD
- .IIF
- .INDD
- .JAVA
- .KEY
- .LACCDB
- .LUA
- .M
- .M4V
- .MAF
- .MAM
- .MAR
- .MAW
- .MDC
- .MDE
- .MFW
- .MMW
- .MP4
- .MPG
- .MPP
- .MRW
- .MSO
- .NDD
- .NEF
- .NK2
- .NSD
- .NSG
- .NSH
- .NWB
- .NX1
- .NX2
- .ODC
- .RSD
- .SBF
- .SDB
- .SDF
- .SPQ
- .SQB
- .STP
- .SQL
- .SQLITE
- .SQLITE3
- .SQLITEDB
- .STR
- .TCX
- .TDT
- .TE
- .TEACHER
- .TRM
- .UDB
- .USR
- .V12
- .VDB
- .VPD
- .WDB
- .WMDB
- .XDB
- .XLD
- .XLGC
- .ZDB
- .ZDC
- .CDR3
- .PPT
- .PPTX
- .1ST
- .ABW
- .ACT
- .AIM
- .ANS
- .APT
- .ASC
- .ASCII
- .ASE
- .ATY
- .AWP
- .AWT
- .AWW
- .BBS
- .BDP
- .BDR
- .BEAN
- .BIB
- .BNA
- .BOC
- .BTD
- .BZABW
- .CHART
- .CHORD
- .CNM
- .CRD
- .CRWL
- .CYI
- .DCA
- .DGS
- .DIZ
- .DNE
- .DOC
- .DOCM
- .DOCX
- .DOCXML
- .DOCZ
- .DOT
- .DOTM
- .DOTX
- .DSV
- .DVI
- .DX
- .EIO
- .EIT
- .EMLX
- .EPP
- .ERR
- .ETF
- .ETX
- .EUC
- .FADEIN
- .FAQ
- .FBL
- .FCF
- .FDF
- .FDR
- .FDS
- .FDT
- .FDX
- .FDXT
- .FES
- .FFT
- .FLR
- .FODT
- .FOUNTAIN
- .GTP
- .FRT
- .FWDN
- .FXC
- .GDOC
- .GIO
- .GPN
- .GTHR
- .GV
- .HBK
- .HHT
- .HS
- .HTC
- .HWP
- .HZ
- .IDX
- .IIL
- .IPF
- .JARVIS
- .JIS
- .JOE
- .JP1
- .JRTF
- .KES
- .KLG
- .KNT
- .KON
- .KWD
- .LATEX
- .LBT
- .LIS
- .LIT
- .LNT
- .LP2
- .LRC
- .LST
- .LTR
- .LTX
- .LUE
- .LUF
- .LWP
- .LXFML
- .LYT
- .LYX
- .MAN
- .MAP
- .MBOX
- .MD5TXT
- .ME
- .MELL
- .MIN
- .MNT
- .MSG
- .MWP
- .NFO
- .NJX
- .NOTES
- .NOW
- .NWCTXT
- .NZB
- .OCR
- .ODM
- .ODO
- .ODT
- .OFL
- .OFT
- .OPENBSD
- .ORT
- .OTT
- .P7S
- .PAGES
- .PFS
- .PFX
- .PJT
- .PLANTUML
- .PRT
- .PSW
- .PU
- .PVJ
- .PVM
- .PWI
- .PWR
- .QDL
- .RAD
- .README
- .RFT
- .RIS
- .RNG
- .RPT
- .RST
- .RT
- .RTD
- .RTF
- .RTX
- .RUN
- .RZK
- .RZN
- .SAF
- .SAFETEXT
- .SAM
- .SCC
- .SCM
- .SCRIV
- .SCRIVX
- .SCW
- .SDM
- .SDOC
- .SDW
- .SGM
- .SIG
- .SKCARD
- .SLA
- .SLAGZ
- .SLS
- .SMF
- .SMS
- .SSA
- .STRINGS
- .STW
- .STY
- .SUB
- .SXG
- .SXW
- .TAB
- .TDF
- .TEXT
- .THP
- .TLB
- .TM
- .TMD
- .TMV
- .TMX
- .TPC
- .TRELBY
- .TVJ
- .TXT
- .U3D
- .U3I
- .UNAUTH
- .UNX
- .UOF
- .UOT
- .UPD
- .UTF8
- .UNITY
- .UTXT
- .VCT
- .VNT
- .VW
- .WBK
- .WCF
- .WEBDOC
- .WGZ
- .WN
- .WP
- .WP4
- .WP5
- .WP6
- .WP7
- .WPA
- .WPL
- .WPS
- .WPT
- .WPW
- .WRI
- .WSC
- .DXF
- .EGC
- .EP
- .EPS
- .EPSF
- .FH10
- .FH11
- .FH3
- .FH4
- .FH5
- .FH6
- .FH7
- .FH8
- .FIF
- .FIG
- .FMV
- .FT10
- .FT11
- .FT7
- .FT8
- .FT9
- .FTN
- .FXG
- .GDRAW
- .GEM
- .GLOX
- .GSD
- .HPG
- .HPGL
- .HPL
- .IDEA
- .IGT
- .IGX
- .IMD
- .INK
- .LMK
- .MGCB
- .MGMF
- .MGMT
- .MT9
- .MGMX
- .MGTX
- .MMAT
- .MAT
- .OTG
- .OVP
- .OVR
- .PCS
- .PFD
- .PFV
- .PL
- .PLT
- .VRML
- .POBJ
- .PSID
- .RDL
- .SCV
- .SK1
- .SK2
- .SLDDRT
- .SNAGITSTAMPS
- .SNAGSTYLES
- .SSK
- .STN
- .SVF
- .SVGZ
- .SXD
- .TLC
- .TNE
- .UFR
- .VBR
- .VEC
- .VML
- .VSD
- .VSDM
- .VSDX
- .VSTM
- .STM
- .VSTX
- .WPG
- .VSM
- .VAULT
- .XAR
- .XMIND
- .XMMAP
- .YAL
- .ORF
- .OTA
- .OTI
- .OZB
- .OZJ
- .OZT
- .PAL
- .PANO
- .PAP
- .PBM
- .PC1
- .PC2
- .PC3
- .PCD
- .PDD
- .PE4
- .PEF
- .PFI
- .PGF
- .PGM
- .PI1
- .PI2
- .PI3
- .PIC
- .PICT
- .PIX
- .PJPEG
- .PJPG
- .PM
- .PMG
- .PNI
- .PNM
- .PNTG
- .POP
- .PP4
- .PP5
- .PPM
- .PRW
- .PSDX
- .PSE
- .PSP
- .PSPBRUSH
- .PTG
- .PTX
- .PVR
- .PX
- .PXR
- .PZ3
- .PZA
- .PZP
- .PZS
- .Z3D
- .QMG
- .RAS
- .RCU
- .RGB
- .RGF
- .RIC
- .RIFF
- .RIX
- .RLE
- .RLI
- .RPF
- .RRI
- .RS
- .RSB
- .RSR
- .RW2
- .RWL
- .S2MV
- .SAI
- .SCI
- .SCT
- .SEP
- .SFC
- .SFERA
- .SFW
- .SKM
- .SLD
- .SOB
- .SPA
- .SPE
- .SPH
- .SPJ
- .SPP
- .SR2
- .SRW
- .STE
- .SUMO
- .SVA
- .SAVE
- .SSFN
- .T2B
- .TB0
- .TBN
- .TEX
- .TFC
- .TG4
- .THM
- .QBI
- .QBR
- .CNT
- .V30
- .QBO
- .LGB
- .QWC
- .QBP
- .AIF
- .QBY
- .1PA
- .QPD
- .SET
- .ND
- .RTP
- .QBWIN
- .LOG
- .QBBACKUP
- .TMP
- .TEMP1234
- .QBT
- .QBSDK
- .SYNCMANAGERLOGGER
- .ECML
- .QSM
- .QSS
- .QST
- .FX0
- .FX1
- .MX0
- .FPX
- .FXR
- .FIM
- .BETTER_CALL_SAUL
- .BREAKINGBAD
- .HEISENBERG
- .YTBL
- .WSD
- .WSH
- .WTX
- .XBDOC
- .XBPLATE
- .XDL
- .XLF
- .XPS
- .XWP
- .XY3
- .XYP
- .XYW
- .YBK
- .YML
- .ZABW
- .ZW
- .2BP
- .0
- .36
- .3FR
- .411
- .73I
- .8XI
- .9PNG
- .ABM
- .AFX
- .AGIF
- .AGP
- .AIC
- .ALBM
- .APD
- .APM
- .APS
- .APX
- .ARTWORK
- .ARW
- .ASW
- .AVATAR
- .BAY
- .BLKRT
- .BM2
- .BMP
- .BMX
- .BMZ
- .BRK
- .BRN
- .BRT
- .BSS
- .BTI
- .C4
- .CAL
- .CALS
- .CAN
- .CD5
- .CDC
- .CDG
- .CIMG
- .CIN
- .CIT
- .COLZ
- .CPC
- .CPD
- .CPG
- .CPS
- .CPX
- .CR2
- .CT
- .DC2
- .DCR
- .DDS
- .DGT
- .DIB
- .DJV
- .DM3
- .DMI
- .VUE
- .DPX
- .WIRE
- .DRZ
- .DT2
- .DTW
- .DVL
- .ECW
- .EIP
- .ERF
- .EXR
- .FAL
- .FAX
- .FIL
- .FPOS
- .G3
- .GCDP
- .GFB
- .GFIE
- .GGR
- .GIF
- .GIH
- .GIM
- .GMBCK
- .GMSPR
- .SPR
- .SCAD
- .GPD
- .GRO
- .GROB
- .HDR
- .HPI
- .I3D
- .ICN
- .ICPR
- .IIQ
- .INFO
- .INT
- .IPX
- .ITC2
- .IWI
- .J
- .J2C
- .J2K
- .JAS
- .JB2
- .JBIG
- .JBIG2
- .JBMP
- .JBR
- .JFIF
- .JIA
- .JNG
- .JPG2
- .JPS
- .JPX
- .JTF
- .JWL
- .JXR
- .KDC
- .KDI
- .KDK
- .KIC
- .KPG
- .LBM
- .LJP
- .MAC
- .MBM
- .MEF
- .MNR
- .MOS
- .MPF
- .MPO
- .MRXS
- .MYL
- .NCR
- .NCT
- .NLM
- .NRW
- .OC3
- .WALLET
- .OC4
- .OC5
- .OCI
- .OMF
- .OPLC
- .AF2
- .AF3
- .AI
- .ART
- .ASY
- .CDMM
- .CDMT
- .CDMTZ
- .CDMZ
- .CDT
- .CGM
- .CMX
- .CNV
- .CSY
- .CV5
- .CVG
- .CVI
- .CVS
- .CVX
- .CWT
- .CXF
- .DCS
- .DED
- .DESIGN
- .DHS
- .DPP
- .DRW
- .DXB
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {random characters}.{random characters}.[RES_SUP@INDIA.COM].ID[{ID number}].CRYPTOSHIELD
ただし、情報公開日現在、このWebサイトにはアクセスできません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Defender Window = "%Program Data%\MicroSoftTMP\system32\winlogon.exe"
- Defender Window = "%Program Data%\MicroSoftTMP\system32\winlogon.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- *Defender Window = "%Program Data%\MicroSoftTMP\system32\winlogon.exe"
- *Defender Window = "%Program Data%\MicroSoftTMP\system32\winlogon.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Defender Window Updater = "{malware path}\{malware filename}.exe"
- Defender Window Updater = "{malware path}\{malware filename}.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- *Defender Window Updater = "{malware path}\{malware filename}.exe"
- *Defender Window Updater = "{malware path}\{malware filename}.exe"
手順 5
以下のファイルを検索し削除します。
- {folder of encrypted files}\# RESTORING FILES #.HTML
- {folder of encrypted files}\# RESTORING FILES #.TXT
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RANSOM_CRYPAURA.SHLD」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください