RANSOM_CRYPWALL.YUYAIQ

2016年5月24日

解析者: Janus Agcaoili

別名:

Ransom:Win32/Crowti.A (Microsoft), Trojan-Ransom.Win32.Cryptodef.cna (Kaspersky),

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。マルウェアは、実行後、自身を削除します。

詳細

ファイルサイズ 189,440 bytes

タイプ EXE

発見日 2016年5月12日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

%Desktop%\HELP_YOUR_FILES.TXT
%Desktop%\HELP_YOUR_FILES.HTML
%Desktop%\HELP_YOUR_FILES.PNG

(註：%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\Desktop" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Application Data%\{random characters}\{random characters}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random characters}\{random characters}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

HELP_YOUR_FILES.PNG - drops to all folders where files are encrypted
%User Startup%\HELP_YOUR_FILES.TXT
%User Startup%\HELP_YOUR_FILES.HTML
%User Startup%\HELP_YOUR_FILES.PNG

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

{BLOCKED}.com/LAUe18.php?{random letter}={random value}
{BLOCKED}g.de/_rQbc5.php?{random letter}={random value}
{BLOCKED}8londonescorts.com/3xd2TW.php?{random letter}={random value}
{BLOCKED}6beta.com/YTKUmk.php?{random letter}={random value}
{BLOCKED}lutions.com.br/DoPk50.php?{random letter}={random value}
{BLOCKED}y60.tk/8fyYij.php?{random letter}={random value}
{BLOCKED}volosuk.com/RWHtPX.php?{random letter}={random value}
{BLOCKED}ndnoble.com/eFSR79.php?{random letter}={random value}
{BLOCKED}laboratuvar.com/_E9Oth.php?{random letter}={random value}
{BLOCKED}point.ua/Q0Gtjw.php?{random letter}={random value}
{BLOCKED}yfive.com/cxhlow.php?{random letter}={random value}
{BLOCKED}.udraw.net/tZ6dGp.php?{random letter}={random value}
{BLOCKED}oexperto.pe/93KW78.php?{random letter}={random value}
{BLOCKED}hnologies.asia/otsPle.php?{random letter}={random value}
{BLOCKED}tednetworktools.com/Y8L9Au.php?{random letter}={random value}
{BLOCKED}o.pl/ZmarLT.php?{random letter}={random value}
{BLOCKED}a-physio.com/GToz01.php?{random letter}={random value}
{BLOCKED}ble-bikes.com/PJWwyK.php?{random letter}={random value}
{BLOCKED}.kz/B68uyb.php?{random letter}={random value}
{BLOCKED}13.tk/jie6Al.php?{random letter}={random value}
{BLOCKED}dwater.com/B4YjMo.php?{random letter}={random value}
{BLOCKED}acker.eu/aAm73E.php?{random letter}={random value}
{BLOCKED}scottage.at/GIDtTa.php?{random letter}={random value}
{BLOCKED}edeerhill.co.uk/65Dprd.php?{random letter}={random value}
{BLOCKED}ashnmoney.com/A9rWa2.php?{random letter}={random value}
{BLOCKED}esxvideos.com/ioaTQC.php?{random letter}={random value}
{BLOCKED}arga.co/K_5JtY.php?{random letter}={random value}
{BLOCKED}maedels-luisenfelde.de/af1xLZ.php?{random letter}={random value}
{BLOCKED}ityconsignment.com/s4CLVv.php?{random letter}={random value}
{BLOCKED}t.mysite.am/HLUsrb.php?{random letter}={random value}
{BLOCKED}lienka.sk/vF9T2e.php?{random letter}={random value}
{BLOCKED}jitsingh.in/3FD9Wc.php?{random letter}={random value}
{BLOCKED}pl/EnUC5z.php?{random letter}={random value}
{BLOCKED}diodnye-svetilniki.com/Lvz9rX.php?{random letter}={random value}
{BLOCKED}eklypizza.com/N_X8BJ.php?{random letter}={random value}
{BLOCKED}igloan.com/PFN3Dy.php?{random letter}={random value}
{BLOCKED}help.com/Dl17Ze.php?{random letter}={random value}
{BLOCKED}site.com/M6w4gu.php?{random letter}={random value}

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、実行後、自身を削除します。

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 12.522.03

初回 VSAPI パターンリリース日 2016年5月12日

VSAPI OPR パターンバージョン 12.523.00

VSAPI OPR パターンリリース日 2016年5月12日

トレンドマイクロのお客様：

最新のバージョン（パターンファイルおよびエンジン）を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス（overwriting virus）、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様：

トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ（ISP）向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。

ご利用はいかがでしたか？　アンケートにご協力ください