Trend Micro Security

TROJ_CRYPTESLA.CAL

2015年4月27日
 解析者: Ryan Gardo   
 別名:

Trojan.CryptoLocker.FKD(Malwarebytes), Trojan.Cryptolocker.N(Symantec), Trojan/Win32.Ransom(AhnLab-V3)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

  詳細

ファイルサイズ 475,136 bytes
タイプ , EXE
発見日 2015年4月21日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • {randomly selected path}\HELP_RESTORE_FILES.txt
  • %User Profile%\My Documents\RECOVERY.TXT
  • %Application Data%log.html
  • %Application Data%key.dat
  • %Desktop%\HELP_RESTORE_FILES.txt
  • %All Users Profile%\Desktop\HELP_RESTORE_FILES.txt
  • %Desktop%\CryptoLocker.lnk
  • %Desktop%\HeLP_ReSTORe_FILeS.bmp

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\{random filename}.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
msdedf = "%Application Data%\{random filename}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
msdedf = "%Application Data%\{random filename}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\SET

マルウェアは、以下のレジストリ値を変更します。

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLinkedConnections = "1"

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = "0"

(註:変更前の上記レジストリ値は、「{User Defined}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = "0"

(註:変更前の上記レジストリ値は、「{User Defined}」となります。)

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = "%Desktop%\HeLP_ReSTORe_FILeS.bmp"

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://ipinfo.io

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}iye577q3p2.{BLOCKED}j3n26.com
  • http://{BLOCKED}ye577q3p2.{BLOCKED}w3n27.com
  • http://{BLOCKED}iye577q3p2.tor2web.{BLOCKED}ie.de
  • http://{BLOCKED}iye577q3p2.tor2web.fi

マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。

  • {original filename}.ecc

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。