• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_CRILOCK.ER

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• {Path Name}\README TO UNLOCK.txt
• %User Temp%\Email.pdf - it will be also executed
• {Path Name}\READMETOUNLOCK.txt
• %User Temp%\MailMessage.exe - detected as TROJ_CRILOCK.ER
• %User Temp%\{variable name 1}.exe - detected as TROJ_CRILOCK.ER

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

• ** Your files have been locked and encrypted with a unique RSA-2048 key! **
  To unlock your files/data:
  1. Download and install the Tor browser from:
  https://www.torproject.org/projects/torbrowser.html.en
  2. Now go to:
  http://{BLOCKED}54x5f3.onion
  (From within the Tor browser)
  Follow the instructions. You will then receive the decryption key (password) and decryptor within 12 hours.
  BEWARE - this is NOT a virus.
  The ONLY way to get your files back is to pay for the decryptor + decryption key (password).
  Guaranteed recovery is provided within 10 days.
  ** Your ID# is {ID} **

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{variable name 2} = "%User Temp%\{variable name 1}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\.{variable name 3}

HKEY_CLASSES_ROOT\{variable name 4}

HKEY_CLASSES_ROOT\{variable name 4}\DefaultIcon

HKEY_CLASSES_ROOT\{variable name 4}\shell\
open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.{variable name 3}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
{variable name 4}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
{variable name 4}\DefaultIcon

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
{variable name 4}\shell\open\
command

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\.{variable name 3}
(Default) = "{variable name 4}"

HKEY_CLASSES_ROOT\{variable name 4}
(Default) = "LOCKED"

HKEY_CLASSES_ROOT\{variable name 4}\DefaultIcon
(Default} = "%User Temp%\{variable name 1}.exe,0"

HKEY_CLASSES_ROOT\{variable name 4}\shell\
open\command
(Default) = "%User Temp%\{variable name 1}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.{variable name 3}
(Default) = "{variable name 4}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
{variable name 4}
(Default) = "LOCKED"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
{variable name 4}\DefaultIcon
(Default) = "%User Temp%\{variable name 1}.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
{variable name 4}\shell\open\
command
(Default) = "%User Temp%\{variable name 1}.exe"

その他

マルウェアは、以下の拡張子をもつファイルを暗号化します。

• *.1cd
• *.3gp
• *.7z
• *.ac3
• *.accdb
• *.ai
• *.ape
• *.avi
• *.bmp
• *.cdr
• *.cdr
• *.cer
• *.csv
• *.dbf
• *.dcr
• *.divx
• *.djvu
• *.doc
• *.docx
• *.dwg
• *.dwg
• *.dxf
• *.dxg
• *.eps
• *.epub
• *.flac
• *.flv
• *.gif
• *.gzip
• *.htm
• *.html
• *.ifo
• *.indd
• *.iso
• *.jpeg
• *.jpg
• *.kdc
• *.kwm
• *.m2v
• *.max
• *.md
• *.mdb
• *.mdf
• *.mkv
• *.mov
• *.mp3
• *.mp4
• *.mpeg
• *.mpg
• *.odt
• *.p12
• *.p7b
• *.p7c
• *.pdf
• *.pfx
• *.png
• *.pps
• *.ppt
• *.pptm
• *.pptx
• *.psd
• *.pst
• *.pwm
• *.qbb
• *.qbw
• *.rar
• *.raw
• *.tar
• *.tif
• *.torrent
• *.txt
• *.vob
• *.wav
• *.wma
• *.wmv
• *.wpd
• *.xls
• *.xlsx
• *.zip

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

• {filename and extension}.CRYPTOLOCKER

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください