Win32/Filecoder.NFY
公開日:2016年05月09日
危険度:3
| 定義名称 | Win32/Filecoder.NFY |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Filecoder.NFY |
| 別名 | Trojan-Ransom.Win32.PornoAsset.ctes(Kaspersky)、Ransom:Win32/Tescrypt.N(Microsoft)、Trojan.Encoder.3953(Dr.Web) |
| 種別 | トロイの木馬 |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Filecoder.NFYの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン13057(20160219)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | このトロイの木馬は、固定ドライブやリムーバブルドライブ、ネットワークドライブのファイルを暗号化します。ファイルを復号化するためのパスワードや手順と引き換えに、特定の条件に従うようユーザーに要求します。詳しい活動内容については、下記をご参照ください。 |
解説
侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所へコピーします。
%localappdata%\%originalmalwarefilename%.exe
%windir%\system32\%originalmalwarefilename%.exe
次のレジストリーエントリーを設定する場合があります。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"%originalmalwarefilename%" = "%installpath%\%originalmalwarefilename%.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%originalmalwarefilename%" = "%installpath%\%originalmalwarefilename%.exe"
これにより、システムが起動するたびに実行されるようになります。
ペイロード情報
このトロイの木馬は、固定ドライブやリムーバブルドライブ、ネットワークドライブのファイルを暗号化します。
次の拡張子を持つファイルを探します。
*.*
名前に次の文字列が含まれるファイルは暗号化しません。
c:\windows
次の名前のファイルは暗号化しません。
boot.ini
explorer.exe
svchost.exe
%originalmalwarefilename%.exe
そのファイルのコンテンツを暗号化します。
".ID%variable%.%email_address%.xtbl"という拡張子が末尾に追加されます。
%variable%には可変の文字列が入ります。
暗号化にはRSAやAESのアルゴリズムが使用されます。
次のファイルを作成します。
%userprofile%\Desktop\How to decrypt your files.txt
このトロイの木馬のファイルには次のテキストが記述されています。
DECRYPT FILES EMAIL %email_address1% or %email_address2%
ファイルを復号化するためのパスワードや手順と引き換えに、特定の条件に従うようユーザーに要求します。
情報の取得
このトロイの木馬は、次の情報を収集します。
コンピューター名
収集した情報をリモートのコンピューターに送信しようとします。
1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
その他の情報
収集した情報をリモートのコンピューターに送信しようとします。
1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
mode con cp select=1251
vssadmin delete shadows /all /quiet
Exit
次のファイルを作成する場合があります。
%userprofile%\Documents\DECRYPT.jpg
このファイル/画像を壁紙に設定します。
例を次に示します。
