RANSOM_XORIST.SMA
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Temp%\{random value}.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のファイルを作成します。
- %User Profile%\Desktop\HOW TO DECRYPT FILES.txt
- %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt
- {folders containing encrypted files}\HOW TO DECRYPT FILES.txt
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Alcmeter = %User Temp%\{random value}.exe
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.EnCiPhErEd
(Default) = "EADQEVCXIGGSVPB"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB
(Default) = "CRYPTED!"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB\DefaultIcon
(Default) = "%User Temp%\{random value}.exe,0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
EADQEVCXIGGSVPB\shell\open\
command
(Default) = "%User Temp%\{random value}.exe"
その他
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {original filename and extension}.EnCiPhErEd