RANSOM_CRYPWALL.YUYAGI

2016年1月18日

解析者: Sammy Chua

別名:

Ransom:Win32/Crowti.A (Microsoft); Troj/Ransom-BXK (Sophos); Ransom.CryptoWall (Malwarebytes)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。マルウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を削除します。

詳細

ファイルサイズ 392,192 bytes

タイプ EXE

メモリ常駐はい

発見日 2015年12月23日

ペイロードシステムセキュリティへの感染活動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Application Data%\{random characters}\{random characters}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、以下のファイルを作成します。

%User Startup%\HELP_YOUR_FILES.HTML
%User Startup%\HELP_YOUR_FILES.PNG
%User Startup%\HELP_YOUR_FILES.TXT
{Folder with encrypted files}\HELP_YOUR_FILES.PNG

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のファイルを作成し実行します。

%Desktop%\HELP_YOUR_FILES.HTML
%Desktop%\HELP_YOUR_FILES.PNG
%Desktop%\HELP_YOUR_FILES.TXT

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

マルウェアは、以下のプロセスを追加します。

explorer.exe
svchost.exe

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

created explorer.exe
created svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random characters}\{random characters}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(註：変更前の上記レジストリ値は、「0」となります。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

http://{BLOCKED}n-handbags.com/X1rZYp.php?{random letter}={random values}
http://{BLOCKED}nk.us/9X2kNr.php?{random letter}={random values}
http://{BLOCKED}nvieira.com.br/6CvxuN.php?{random letter}={random values}
http://{BLOCKED}rpaintbody.com/lrQ2bG.php?{random letter}={random values}
http://{BLOCKED}mission.org/VImTSM.php?{random letter}={random values}
http://{BLOCKED}istictraining.com/c0Mdwh.php?{random letter}={random values}
http://{BLOCKED}e-sun.eu/4BKEt7.php?{random letter}={random values}
http://{BLOCKED}a-b.pl/WBxm6M.php?{random letter}={random values}
http://{BLOCKED}anykaprun.cz/LV6Egb.php?{random letter}={random values}
http://{BLOCKED}a.pl/93_7ja.php?{random letter}={random values}
http://{BLOCKED}a-meble.pl/Q0bAHK.php?{random letter}={random values}
http://{BLOCKED}n.ca/IlDH1J.php?{random letter}={random values}
http://{BLOCKED}iomariocervo.it/3lV_m5.php?{random letter}={random values}
http://{BLOCKED}day.sk/mE8MKJ.php?{random letter}={random values}
http://{BLOCKED}nltd.kz/_aP5Qm.php?{random letter}={random values}
http://{BLOCKED}a.su/wlI0Uy.php?{random letter}={random values}
http://{BLOCKED}tance-pc.fr/DzJuMa.php?{random letter}={random values}
http://{BLOCKED}kfullofcarrots.ch/OIP7rk.php?{random letter}={random values}
http://{BLOCKED}a.com.au/rxo5Zp.php?{random letter}={random values}
http://{BLOCKED}s-krombach.de/F74yDk.php?{random letter}={random values}
http://{BLOCKED}us-iffland.com/1G7MQi.php?{random letter}={random values}
http://{BLOCKED}ghtstone.com/TVdDjZ.php?{random letter}={random values}
http://{BLOCKED}u.com/mshUtH.php?{random letter}={random values}
http://{BLOCKED}kdental.com/GMu28q.php?{random letter}={random values}
http://{BLOCKED}ik.com/4XQIPH.php?{random letter}={random values}
http://{BLOCKED}r-consulting.com/1r432c.php?{random letter}={random values}
http://{BLOCKED}ugema.com/fgr5nw.php?{random letter}={random values}
http://{BLOCKED}oucomprar.com/cNabw1.php?{random letter}={random values}
http://{BLOCKED}ductions.nl/oDYzxb.php?{random letter}={random values}
http://{BLOCKED}derappeschoenlapper.nl/RA4BLM.php?{random letter}={random values}
http://{BLOCKED}ijwegerif.nl/52Qwds.php?{random letter}={random values}
http://{BLOCKED}eveda.com/i5amQC.php?{random letter}={random values}
http://{BLOCKED}ium.altervista.org/cUFD6S.php?{random letter}={random values}
http://{BLOCKED}radydrewniane.pl/6Ejz4Y.php?{random letter}={random values}
http://{BLOCKED}preescolar.com/_bfSj7.php?{random letter}={random values}
http://{BLOCKED}ballvideobwsl.net/jN3vUi.php?{random letter}={random values}
http://{BLOCKED}andblings.com/RWH6sC.php?{random letter}={random values}
http://{BLOCKED}o.altervista.org/Detuk4.php?{random letter}={random values}
http://{BLOCKED}v.altervista.org/b1AUCJ.php?{random letter}={random values}
http://{BLOCKED}x.kz/Ov8_qV.php?{random letter}={random values}
http://{BLOCKED}intoys.az/v6a8Ls.php?{random letter}={random values}
http://{BLOCKED}seltimes.com/5X1Wb3.php?{random letter}={random values}
http://{BLOCKED}n-bloss.eu/Yo_QUd.php?{random letter}={random values}
http://{BLOCKED}orestclocks.org/K6lWQg.php?{random letter}={random values}
http://{BLOCKED}gar.com/K1kCOF.php?{random letter}={random values}
http://{BLOCKED}g.diogene-atmosphere.com/ixcnYt.php?{random letter}={random values}
http://{BLOCKED}g.docotel.com/NFDayU.php?{random letter}={random values}
http://{BLOCKED}g.hairconstruction.co/GFrT6o.php?{random letter}={random values}
http://{BLOCKED}m.net/aq6oTm.php?{random letter}={random values}
http://{BLOCKED}ls.me/bToO9P.php?{random letter}={random values}
http://{BLOCKED}szen.com/AMx5jI.php?{random letter}={random values}
http://{BLOCKED}mode.nl/DaZjW7.php?{random letter}={random values}
http://{BLOCKED}ord-marine.com/Rd8pPK.php?{random letter}={random values}
http://{BLOCKED}gandentering-movie.com/rXUaE8.php?{random letter}={random values}
http://{BLOCKED}bookkeeping.co.uk/WnsB6l.php?{random letter}={random values}
http://{BLOCKED}x.com/VWuyK4.php?{random letter}={random values}
http://{BLOCKED}tas.nl/NL417H.php?{random letter}={random values}
http://{BLOCKED}i.com/_AcyQv.php?{random letter}={random values}
http://{BLOCKED}ci.net/kqa4ho.php?{random letter}={random values}
http://{BLOCKED}ing.com/G5JmvW.php?{random letter}={random values}
http://{BLOCKED}to90210.altervista.org/bJT1VS.php?{random letter}={random values}
http://{BLOCKED}al-club-boeckels.de/kiCsmO.php?{random letter}={random values}
http://{BLOCKED}kazamkowa.pl/WGr_xJ.php?{random letter}={random values}
http://{BLOCKED}tive.ml/0FeLA2.php?{random letter}={random values}
http://{BLOCKED}urquest.com/nCHOvM.php?{random letter}={random values}

マルウェアは、以下の拡張子をもつファイルを暗号化します。

wll
wmv
wpd
wps
x11
x3f
xis
xla
xlam
xlb
xlc
xlk
xll
xlm
xlr
xls
xlsx
xlsm
xlsb
xlt
xltx
xltm
xlw
xpp
xsn
ycbcra
yuv
zip
3fr
3dm
3ds
3gp
3g2
3pr
7z
+MuhD
ab4
accdb
accde
accdp
accdr
accdt
accdu
ach
acr
act
adb
ads
agdl
ait
ai
al
apj
arw
asf
asm
asp
asx
avi
awg
back
backup
backupdb
bak
bank
bay
bdb
bgt
bik
bkf
bkp
blend
bpw
cdb
cdf
cdr
cdr6
cdrw
cdr5
cdr3
cdr4
cdx
ce1
ce2
cer
cfp
cgm
c
cib
class
cls
cmt
cnv
cpi
cpp
cr2
craw
crt
crw
csh
csl
csv
cs
dac
db-journal
db3
db
dbf
dbr
dbs
dc2
dcr
dcs
dcx
ddd
ddoc
ddrw
dds
der
des
design
dgc
djvu
dng
doc
docm
docx
dot
dotm
dotx
drf
drw
dtd
dwg
dxb
dxf
dxg
ebd
edb
eml
eps
erbsql
erf
exf
fdb
ffd
fff
fhd
fh
fla
flac
flv
fm
fp7
fpx
fxg
gdb
gray
grey
grw
gry
hbk
hpp
h
ibank
ibd
ib
ibz
idx
iif
iiq
incpas
indd
itdb
java
jpe
jpeg
jpg
kc2
kdbx
kdc
key
kpdx
lua
m4v
maf
mam
maq
mar
maw
max
mdb
mdc
mde
mdf
mdt
mef
mfw
mmw
moneywell
m
mos
mov
mp3
mp4
mpg
mpp
mrw
mso
myd
ndd
nd
nef
nk2
nop
nrw
ns2
ns3
ns4
nsd
nsf
nsg
nsh
nwb
nx1
nx2
nxl
nyf
obj
odb
odc
odf
odg
odm
odp
ods
odt
oil
one
orf
otg
oth
otp
ots
ott
p12
p7b
p7c
pages
pas
pat
pbo
pcd
pct
pdb
pdd
pdf
pef
pem
pfx
php
pip
plc
pl
pot
potm
potx
ppam
pps
ppsx
ppsm
ppt
pptm
pptx
prf
ps
psafe3
psd
pspimage
ptx
pub
puz
py
qba
qbb
qbm
qbr
qbw
qbx
qby
r3d
raf
rar
rat
raw
rdb
rm
rpmsg
rtf
rw2
rwl
rwz
s3db
sas7bdat
say
sd0
sda
sdf
sl2
sldm
sldx
snp
sqlite3
sql
sqlite
sqlitedb
sr2
srf
srt
srw
st4
st5
st6
st7
st8
std
sti
stw
stx
svg
swf
sxc
sxd
sxg
sxi
sxm
sxw
tex
tga
thm
tlg
txt
vob
vsx
vtx
wallet
wav
wb2

マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を削除します。

マルウェアは、CD-ROMドライブを除くすべてのドライブを検索してファイルを暗号化します。

マルウェアは以下のコマンドを実行することで、シャドウコピーを削除します。

vssadmin.exe Delete Shadows/All/Quiet

マルウェアは、以下の拡張子を持つファイルは暗号化しません。

application
bat
cmd
com
cpl
dll
exe
gadget
hta
msc
msi
msp
pif
scf
scr
sys

マルウェアは、以下のファイル名のファイルは暗号化しません。

p0r4dime.1!
thumbs.db

マルウェアは、以下のフォルダ名を持つフォルダ内のファイルは暗号化しません。

Temp
Y@Cs
cache
cache2
games
nvidia
packages
uvOyR
windows

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を変更します。

{5 to 10 alphanumeric characters}.{2 to 5 alphanumeric characters}

マルウェアは、以下の脅迫状を表示します。

ユーザが脅迫状に指定されている支払いサイトに接続すると、以下の復号サービスサイトがブラウザに表示されます。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 12.228.02

初回 VSAPI パターンリリース日 2015年12月23日

VSAPI OPR パターンバージョン 12.229.00

VSAPI OPR パターンリリース日 2015年12月24日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random characters} = "%Application Data%\{random characters}\{random characters}.exe"

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
- From: DisableSR = "1"
  To: DisableSR = 0

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

HELP_YOUR_FILES.HTML
HELP_YOUR_FILES.PNG
HELP_YOUR_FILES.TXT

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「RANSOM_CRYPWALL.YUYAGI」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

Internet Explorer（IE）のセキュリティ設定を修正します。

[ 詳細 ]

ご利用はいかがでしたか？　アンケートにご協力ください