Trend Micro Security

TROJ_GULCRYPT.A

2015年5月26日
 解析者: Michelle Morales   
 別名:

Ransom:Win32/Gulcrypt.B (Microsoft);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  詳細

ファイルサイズ 22,528 bytes
タイプ EXE
メモリ常駐 なし
発見日 2015年2月12日

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}ail.com/base.rar

インストール

マルウェアは、以下の無害なファイルを作成します。

  • C:\tempfile\number.win --> this file contains the password used to archive files, this file is deleted immediately after encryption

マルウェアは、以下のテキストファイルを作成します。

  • {Logical Drive}:\+{user name}_files
  • C:\tempfile\number.asc --> this file is the PGP encrypted version of C:\tempfile\number.win

マルウェアは、身代金を要求する手紙として、テキストファイルを作成します。このテキストファイルは以下の内容を含んでいます。

  • -----BEGIN PGP MESSAGE-----
    Version: 2.6.3i
    {encrypted data from C:\tempfile\number.win using PGP}
    -----END PGP MESSAGE-----
    The files are packed in archives with a password.
    Unpacked - 300 eur
    To unpack the files send two files to email: {BLOCKED}aero@gmail.com
    1) file you are reading now
    2) one packed file (no more than 1 megabyte)
    In response comes the original file and the instruction for money transfer
    (The original file is proof that it is possible to return all files to their original)
    After the transfer bitcoin, you will receive your password to archives.
    Also coming program to automatically unpack files
    Reply to your letter will come within 24 hours.
    If no response comes for more than 24 hours write to reserved e-mail: {BLOCKED}aero@mail2tor.com

その他

マルウェアは、ファイルのアーカイブに利用されるパスワードを含む以下の無害なファイルを作成します。このファイルは暗号化の直後に削除されます。

  • C:\tempfile\number.win

マルウェアが作成する以下のテキストファイルは、"C:\tempfile\number.win"の「PGP(Pretty Good Privacy)」形式で暗号化されたバージョンです。

  • C:\tempfile\number.asc

マルウェアは、コンピュータの論理ドライブをスキャンし、以下の拡張子を持つファイルをアーカイブします。

  • .cdr
  • .dbf
  • .doc
  • .eps
  • .jpg
  • .pdf
  • .pek
  • .psd
  • .tif
  • .txt
  • .jpeg

マルウェアがファイルのアーカイブに用いるコマンドは、以下のとおりです。

rar a -p{data from C:\tempfile\number.win}
"{original file name}.rar" "{original file name}.extension"

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.474.06
初回 VSAPI パターンリリース日 2015年2月12日
VSAPI OPR パターンバージョン 11.457.00
VSAPI OPR パターンリリース日 2015年2月13日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_GULCRYPT.A」 を作成またはダウンロードする不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {Logical Drive}:\+{user name}_files
  • C:\tempfile\number.asc

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_GULCRYPT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

その他

バックアップからファイルをリストアしてください。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア