TROJ_CRYPCTB.UKL

2015年7月13日

解析者: Ryan Gardo

更新者 : Francis Xavier Antazo

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

詳細

ファイルサイズ 749,242 bytes

タイプ EXE

発見日 2015年6月4日

ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

%Windows%\Tasks\{random filename2}.job
%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters 1}.txt
%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters 1}.bmp
%All Users Profile%\Application Data\{randomly selected path}\{random filename3} - for Windows XP and below.
%AppDataLocal%\{randomly selected path}\{random filename3} - for Windows 7 and above.

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Temp%\{random filename1}.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のプロセスにコードを組み込みます。

svchost.exe
explorer.exe

自動実行方法

この「スケジュールされたタスク」により、以下の時間ごとにマルウェアが実行されます。

system startup

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
WallPaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters 1}.bmp"

(註：変更前の上記レジストリ値は、「{User Preference}」となります。)

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

ip.telize.com

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

http://{BLOCKED}sp3sjyg.tor2web.fi
http://{BLOCKED}sp3sjyg.tor2web.blutmagie.de
http://{BLOCKED}sp3sjyg.onion.cab
http://{BLOCKED}sp3sjyg.onion.gq

マルウェアは、以下の拡張子をもつファイルを暗号化します。

3fr
7z
abu
accdb
ai
arp
arw
bas
bay
bdcr
bdcu
bdd
bdp
bds
blend
bpdr
bpdu
bsdr
bsdu
c
cdr
cer
config
cpp
cr2
crt
crw
cs
dbf
dbx
dcr
dd
dds
der
dng
doc
docm
docx
dwg
dxf
dxg
eps
erf
fdb
gdb
groups
gsd
gsf
ims
indd
iss
jpe
jpeg
jpg
js
kdc
kwm
md
mdb
mdf
mef
mrw
nef
nrw
odb
odm
odp
ods
odt
orf
p12
p7b
p7c
pas
pdd
pdf
pef
pem
pfx
php
pl
ppt
pptm
pptx
psd
pst
ptx
pwm
py
r3d
raf
rar
raw
rgx
rik
rtf
rw2
rwl
safe
sql
srf
srw
txt
vsd
wb2
wpd
wps
xlk
xls
xlsb
xlsm
xlsx
zip

対応方法

対応検索エンジン: 9.750

初回 VSAPI パターンバージョン 11.706.08

初回 VSAPI パターンリリース日 2015年6月2日

VSAPI OPR パターンバージョン 11.707.00

VSAPI OPR パターンリリース日 2015年6月3日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Control Panel\Desktop
- From: TileWallpaper = "0"
  To: TileWallpaper = "{User Preference}"
In HKEY_CURRENT_USER\Control Panel\Desktop
- From: WallpaperStyle = "0"
  To: WallpaperStyle = "{User Preference}"
In HKEY_CURRENT_USER\Control Panel\Desktop
- From: WallPaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.bmp"
  To: WallPaper = "{User Preference}"

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
  ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Control Panel>Desktop
右側のパネルで以下のレジストリ値を検索します。
TileWallpaper = "0"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
TileWallpaper = "{User Preference}"
再び、右側のパネルで以下のレジストリ値を検索します。
WallpaperStyle = "0"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
WallpaperStyle = "{User Preference}"
再び、右側のパネルで以下のレジストリ値を検索します。
WallPaper = "%User Profile%\My Documents\!Decrypt-All-Files-{random 7 characters}.bmp"
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
WallPaper = "{User Preference}"
レジストリエディタを閉じます。

手順 5

追加されたスケジュールタスクの削除：

Windows 2000、XP および Server 2003 の場合：

スケジュールタスクを開きます。
[スタート]-[プログラム]-[アクセサリー]-[システムツール]-[タスクスケジューラ]をクリック
ダブルクリックでJOBファイルを開きます。
JOBファイルにマルウェアのパスおよびファイルが含まれているかを確認します。
上記欄に該当する名前が含まれていた場合、問題のJOBファイルを削除します。
残りのJOBファイルに対して、2.)から4.)の手順を繰り返します。

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

タスクスケジューラを開きます。
- Windows Vista、7 および Server 2008 の場合：
  [スタート]をクリック。[検索]入力欄に"taskschd.msc"と入力し、Enterを押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左隅を右クリックし、[実行]を選択します。"taskschd.msc"と入力し、Enterを押します。
タスクスケジューラ画面の左側のパネルで、[タスクスケジューラライブラリ]を選択します。
真ん中上部のパネルで、[タスク]をクリック。
真ん中下部のパネルの、[操作]タブをクリック。
タスクにマルウェアのパスおよびファイル名が表示されているかを確認。確認された場合、[操作]タブ内の[詳細]欄の値を確認します。
値が確認される場合、タスクを選択。DELETEを押し、[はい]をクリックしてタスクを削除します。
残りのJOBファイルに対して、3.)から5.)の手順を繰り返します。

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

!Decrypt-All-Files-{random 7 characters 1}.txt
!Decrypt-All-Files-{random 7 characters 1}.bmp

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TROJ_CRYPCTB.UKL」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください