RANSOM_EREBUS.TOR
2017年6月16日
別名:
Ransom.CryptXXX (NORTON); Ransom:Win32/Erebus.A!rsm (MICROSOFT); Troj/Ransom-EGM (SOPHOS_LITE)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 1,249,280 bytes
タイプ EXE
発見日 2017年2月7日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。
- {path where the initial copy was executed}\{random string}.exe
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
(Default) = {path where the initial copy was executed}\{random string}.exe
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}5743lnq6db.onion
ランサムウェアの不正活動
マルウェアは、以下の文字列を含むファイルを暗号化します。
- .3fr
- .accdb
- .arw
- .bay
- .cdr
- .cer
- .cr2
- .crt
- .crw
- .dbf
- .dcr
- .der
- .dng
- .doc
- .docm
- .docx
- .dwg
- .dxf
- .dxg
- .eps
- .erf
- .indd
- .jpe
- .jpg
- .kdc
- .mdb
- .mdf
- .mef
- .mp3
- .mp4
- .mrw
- .nef
- .nrw
- .odb
- .odm
- .odp
- .ods
- .odt
- .orf
- .p7b
- .p7c
- .p12
- .pdd
- .pef
- .pem
- .pfx
- .png
- .ppt
- .pptm
- .pptx
- .psd
- .pst
- .ptx
- .r3d
- .raf
- .raw
- .rtf
- .rwl
- .srf
- .srw
- .txt
- .wb2
- .wpd
- .wps
- .xlk
- .xls
- .xlsb
- .xlsm
- .xlsx
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .waw
- .ps3
- .msj
- .sqj
- .grf
- .aov
- .ssw
- .pge
- .uwi