All your files have been encrypted!

こちらも参加していますのでよろしくお願いします。


アスペルガー症候群ランキング

今、ちまたで流行している。人質(データ)を暗号化して、ビットコインをよこせっていうタイプのマルウェアとかだが、調査分析の為のポッドを立ち上げて、早く来い来いと、待っていたら、キャッチ。

私の所は、Windowsをサーバー用途で使ってないが、一般の会社は、Windowsって多いんだろうなーって思う。
メーカーのコンピュータは、Windowsが最初から入っていたり、システム管理者が、Windowsしか、触ったことがないとか。両方使った人ならわかるが
Windowsは、コストがかかる。まず、時間と、金がかかるシステムで、自分所で完結するIT企業だったら、Windowsは、使わないだろう。開発コスト、運用コストもかかりまくる訳だ。逆な発想だと、お金を取って商売するとするならば、客にWindowsを使わせると、いくらでもお金がかかるシステムの出来上がりになる。

ここ一年ぐらい、身代金マルウェアを調査して、分かった事。

侵入経路

メールシステム、RDリモートディスクトップ、Web広告

リモートディスクトップの証明書が、書き換わる。半年の証明

NetworkShare.exe Windowsのファイル共有を調査するアプリ
ローカル内のIPアドレスを返す。

payload.exe が本体、データというか、プログラムでも、片っ端から暗号化して
プログラムが実行中などのロックしているファイルは、暗号化されない。
ファイルが暗号処理されると、BOTファイルに上書きされる。
ネットワークドライブも存在する場合は、BOTファイルに置き換わる。

暗号化が完了したディレクトリーに

FILES ENCRYPTED.TXT
というテキストファイルが作成され

その内容は

all your data has been locked us
You want to return?
write email [email protected] or [email protected]


という具合になる。

暗号化される対象ファイルは

.sql、.mp4、.7z、.rar、.m4a、.wma、.avi、.wmv、.csv、.d3dbsp、.zip、.sie、.sum、.ibank、.t13、.t12、.qdf 、.gdb、.tax、.pkpass、.bc6、.bc7、.bkp、.qic、.bkf、.sidn、.sidd、.mddata、.itl、.itdb、.icxs、.hvpl、.hplg 、. hkdb、.mdbackup、.syncdb、.gho、.cas、.svg、.map、.wmo、.itm、.sb、.fos、.mov、.vdf、.ztmp、.sis、.sid、.ncf、 .menu、.layout、.dmp、.blob、.esm、.vcf、.vtf、.dazip、.fpk、.mlx、.kf、.iwd、.vpk、.tor、.psk、.rim、.w3x 、.fsh、.ntl、.arch00、.lvl、.snx、.cfr、.ff、.vpp_pc、.lrf、.m2、.mcmeta、.vfs0、.mpqge、.kdb、.db0、.dba 、. rofl、.hkx、.bar、.upk、.das、.iwi、.litemod、.asset、.forge、.ltx、.bsa、.apk、.re4、.sav、.lbf、.slm、.bik、 .epk、.rgss3a、.pak、.big、wallet、.wotreplay、.xxx、.desc、.py、.m3u、.flv、.js、.css、.rb、.png、.jpeg、.txt、 .p7c、.p7b、.p12、.pfx、.pem、.crt、.cer、.der、.x3f、.srw、.pef、.ptx、.r3d、.rw2、.rwl、.raw 、.raf、.orf、.nrw、.mrwref、.mef、.erf、.kdc、.dcr、.cr2、.crw、.bay、.sr2、.srf、.arw、.3fr、.dng、.jpe、 .jpg、.cdr、.indd、.ai、.eps、.pdf、.pdd、.psd、.dbf、.mdf、.wb2、.rtf、.wpd、.dxg、.xf、.dwg、.pst 、.accdb、.mdb、.pptm、.pptx、.ppt、.xlk、.xlsb、.xlsm、.xlsx、.xls、.wps、.docm、.docx、.doc、.odb、.odc 、. odm、.odp、.ods、.odt

というメッセージが、payload.exeが実行されると、画面に表示される。

駆除方法は

c:\windows\system32/payload.exe

Ransom Crysis Generic というマルウェアだ

http://sns.masaoka.jp

に書いておきます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください