ウイルス情報

ウイルス名 危険度

Ransom-FFD

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7246
対応定義ファイル
(現在必要とされるバージョン)
7265 (現在7656)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 ESET-NOD32 - Win32/Filecoder.BQ Kaspersky - Trojan-Ransom.Win32.Blocker.cvpb Microsoft - Trojan:Win32/Crilock.B
情報掲載日 2013/11/22
発見日(米国日付) 2013/11/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・Ransom-FFDはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・「Ransom-FFD」は、システムで利用可能な乗っ取ったユーザのファイルを暗号化し、ファイルを読み出すための対価を支払うよう、ユーザに要求するトロイの木馬です。

・「Ransom-FFD」は、オリジナルのファイルを削除し、Ransom-FFDにハードコード化されたパブリックキーとRSAまたはAES暗号化を使用して、オリジナルのファイルの暗号化された内容を同じ名前の新しいファイルにコピーするトロイの木馬です。

・暗号化されたファイルは、Ransom-FFDの管理者から受け取ったプライベートキーを使用しなければ、解読できません。

・実行時、以下のIPアドレスおよびドメインに接続します。

  • qficuw[削除]xmc.biz
  • cejio[削除]xgxu.ru
  • dqktvpb[削除]hot.org
  • eyhqsok[削除]imo.co.uk
  • flicagg[削除]v.info
  • mwjokg[削除]gnq.com
  • auknnb[削除]kgad.net
  • nohllqm[削除]yxq.biz
  • bmikol[削除]ixu.ru
  • kuofoy[削除]qu.org
  • xsper[削除]gkd.co.uk
  • lmmc[削除]ie.info
  • yknbs[削除]ppe.com
  • vqsn[削除]jbd.biz
  • uercm[削除]cy.net
  • vqsn[削除]bd.biz
  • vvp[削除]kxq.ru
  • wiqk[削除]llnd.org
  • scws[削除]gyv.co.uk
  • toxex[削除]xfv.info
  • ttupr[削除]gcw.com
  • ugvby[削除]uihyf.net
  • sfetr[削除]psoq.biz
  • gdfs[削除]tclc.ru
  • uaccv[削除]huea.org
  • ixdb[削除]lukd.co.uk
  • qdjkvp[削除]ue.info
  • ebkjyh[削除]qcyl.com
  • sxhs[削除]ecle.net
  • bmm[削除]uxtbpl.ru
  • cynsb[削除]ugcyo.org
  • dhkpx[削除]cldqm.co.uk
  • etlb[削除]umx.info
  • ykrxx[削除]qppr.com
  • awsj[削除]q.net
  • bfpg[削除]yrj.biz
  • uahiid[削除]x.co.uk
  • iawir[削除]lum.info
  • ejbk[削除]cijq.ru
  • rfvhh[削除]esf.org
  • lyudm[削除]ery.co.uk
  • mjpuhs[削除]rjt.info
  • mufayo[削除]rh.com
  • nfartjkx[削除]usp.net
  • hiyfy[削除]yq.biz
  • istwt[削除]hoqe.ru
  • iejcltw[削除]rr.org
  • joetgo[削除]ss.co.uk
  • vcfhgg[削除]ndd.info
  • jxaejx[削除]bms.com
  • xbphx[削除]epvmv.net
  • lwke[削除]nnjmx.biz
  • 212[削除]4
  • 92[削除]27
  • 192[削除}72

・実行後、以下の場所にファイルを作成します。

  • %Appdata%\Aagrqyldgdozxndd.exe

・以下のキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-21-[不定]-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files

・以下のキー値がシステムに追加されます。

  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\Microsoft\Windows\CurrentVersion\Run\CryptoLocker: ""% Appdata%\Aagrqyldgdozxndd.exe""
  • HKEY_USERS\S-1-5-[不定]--1003\Software\Microsoft\Windows\CurrentVersion\RunOnce\*CryptoLocker: ""% Appdata%\Aagrqyldgdozxndd.exe""

・上記のレジストリ項目により、システムが起動するたびにRansom-FFDが実行されるようにします。

  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?AVERT?Desktop?odbg110?others?Basics of Assembler.doc: 0x0015ACE3
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?Default User?Templates?excel.xls: 0x0015ADAE
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?Default User?Templates?excel4.xls: 0x0015AE6A
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?Default User?Templates?powerpnt.ppt: 0x0015AF35
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?Default User?Templates?quattro.wb2: 0x0015B000
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?Default User?Templates?winword.doc: 0x0015B0EA
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\C:?Documents and Settings?Default User?Templates?winword2.doc: 0x0015B196
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\Files\F:?josam?7814315?7270?_prgza1yo.ydv.zip?Engineer Game.xls: 0x0015CF6F
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\VersionInfo: [バイナリデータ]
  • HKEY_USERS\S-1-5-21-[不定]--1003\Software\CryptoLocker_0388\PublicKey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

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記の活動が見られます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る