RANSOM_CRYPFINI.A
Ransom:Win32/Finicrypt.A (Microsoft)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- ReadDecryptFilesHere.txt - to all folders with encrypted files
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\{Computer Name}{Volume Serial Number}.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Corporation = "%User Profile%\{Computer Name}{Volume Serial Number}.exe"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\CryptInfinite
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
HKEY_CURRENT_USER\Software\CryptInfinite\
Files
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
KEYFREE = "{10 random characters}"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
KEY = "{70 random characters}"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
KEYFREE = "{10 random characters}"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
1 = "000000"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
c = "23"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
m = "59"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
s = "59"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
FreeFile = "{file name of 10th encrypted file}"
HKEY_CURRENT_USER\Software\CryptInfinite\
Info
Finish = "True"
HKEY_CURRENT_USER\Software\CryptInfinite\
Files
{number starting from 1 until number of encrypted files (multiple entries)} = "{file name of encrypted file}"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}6k7iivyki2.onion.direct/lending/bot.php
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original file name and extension}.crinf