RANSOM_SAMAS.E
Ransom:MSIL/Samas.A (Microsoft); Trojan-Ransom.MSIL.Samas.as (Kaspersky); Ransom.FileCryptor (Malwarebytes); a variant of MSIL/Filecoder.Samas.B (ESET-NOD32); Win32:Ransom-AYO [Trj] (Avast)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成し実行します。
- %All Users Profile%\Application Data\Msdtc\mustupdate.bat
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)
その他
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {Original Filename and Extension}.deria.wowreadfordecryp
マルウェアは、以下のファイルを作成します。
- %Desktop%\{numbers}-WOW-READ-FOR-DECRYP.html
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)