Ransom_Wadhrama.R046C0DAD18
Windows
- マルウェアタイプ: 身代金要求型不正プログラム(ランサムウェア)
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう、<Common Startup>フォルダ内に自身のコピーを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware file name}.exe = {malware file path}
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう、<Common Startup>フォルダ内に以下のように自身のコピーを作成します。
- %Start Menu%\Programs\Startup\{malware file name}.exe
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\{malware file name}.exe
(註:%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。.. %ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)
ランサムウェアの不正活動
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .id-8AA7DEE7.[decrypthelp@qq.com].java