• Email
• Facebook
• Twitter
• Google+
• Linkedin

RANSOM_XORIST.F

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\{random value}.exe
• %User Profile%\Desktop\READ TO DECRYPTIONS_.txt
• %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\READ TO DECRYPTIONS_.txt
• {folders containing encrypted files}\READ TO DECRYPTIONS_.txt

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

• All your data files are crypted.
  To decrypt files and gain access to them,
  please send 0.5 Bitcoin to address
  1G3uZtTUN8J3Wd9iQxft6Xej8BWh5EBHhz
  
  and email to xg9739517395nb@163.com proof
  (screen or TransID) of your payment.
  
  After receiving the money, I will send you
  your password and decrypt instruction via email.

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.rtyrtyrty
(Default) = "VKKYOEBUQZTVGTN"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VKKYOEBUQZTVGTN
(Default) = "CRYPTED!"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VKKYOEBUQZTVGTN\DefaultIcon
(Default) = "%User Temp%\{random value}.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VKKYOEBUQZTVGTN\shell\open\
command
(Default) = "%User Temp%\{random value}.exe"

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• *.zip
• *.rar
• *.tar
• *.gzip
• *.jpg
• *.jpeg
• *.psd
• *.cdr
• *.dwg
• *.max
• *.bmp
• *.gif
• *.png
• *.doc
• *.docx
• *.xls
• *.xlsx
• *.ppt
• *.pptx
• *.txt
• *.pdf
• *.djvu
• *.htm
• *.html
• *.mdb
• *.cer
• *.p12
• *.pfx
• *.kwm
• *.pwm
• *.1cd
• *.mdf
• *.dbf
• *.odt
• *.vob
• *.ifo
• *.lnk
• *.torrent
• *.mov
• *.m2v
• *.3gp
• *.mpeg
• *.mpg
• *.flv
• *.avi
• *.mp4
• *.wmv
• *.divx
• *.mkv
• *.mp3
• *.wav
• *.flac
• *.ape
• *.wma
• *.edb
• *.ndf
• *.ldf
• *.vhdx
• *.vhd
• *.vmdk
• *.tis
• *.accdb
• *.iso
• *.wim
• *.WIM
• *.msg
• *.vcf
• *.mbdb
• *.plist
• *.ZIP
• *.RAR
• *.bak
• *.BAK
• *.backup
• *.ldb
• *.QBB
• *.qbb
• *.probkp
• *.mde
• *.sql
• *.SQL
• *.001
• *.002
• *.003
• *.004
• *.005
• *.006
• *.007
• *.008
• *.009
• *.adm
• *.ADM
• *.hsh
• *.sn1
• *.sn2
• *.sn3
• *.sna
• *.spf
• *.report
• *.v2i
• *.bkf
• *.pst
• *.nsf
• *.aspx
• *.flf
• *.900
• *.trp
• *.xtbl
• *.cerber
• *.crypt
• *.bac
• *.CrySiS
• *.ac3

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {original filename and extension}.rtyrtyrty
• {original filename and extension}.scydbDmbug0182K

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください