・Ransom-Fは最初、explorer.exeなど、多くのプロセスに挿入されるDLLコンポーネントとして侵入します。
・自動起動メカニズムとして、以下のレジストリ項目を作成します。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "DLLのパスおよびファイル名"
・システムに感染したことを示すフラグとして、以下のレジストリキーを追加します。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\keyboard
is_installed = [ランダムなデータ]
・Ransom-FはMy Documentsフォルダで以下のファイル名の拡張子を含むファイルを検索して暗号化します。
- ppsm
- ppam
- potx
- pptx
- ppsx
- potm
- pptm
- xlam
- xltm
- xlsm
- dotm
- docm
- xlsb
- xltx
- xlsx
- dotx
- docx
- pst
- mdb
- wma
- mp3
- png
- jpeg
- jpg
- pdf
- ppt
- xls
- doc
・さらに、explorer.exeを含むほぼすべての動作中のプロセスに自身のコードを挿入します。
・また、ターゲットが上記の拡張子を持つファイルを開こうとすると、そのファイルも暗号化してエラーメッセージを表示します。
・このため、ターゲットは表示されたファイルを開くことができなくなります。ユーザが「Repair」ボタンを押すと、Ransom-Fは以下のサイトに接続し、「FileFix Professional 2009」という名前のコンポーネントをダウンロードします。
- hxxp://filefixpro.com/public/download.php
・以下のファイルがFileFixによって追加されます(同じくRansom-Fという名前で検出)。
- %ProgramFiles%\FileFix Professional 2009\unins000.dat
- %ProgramFiles%\FileFix Professional 2009\unins000.exe
- %ProgramFiles%\FileFix Professional 2009\wizard.exe - detected as Ransom-F
- %ProgramFiles%\FileFix Professional 2009\wizard.url
- C:\Documents and Settings\All Users\Start Menu\Programs\FileFix Professional 2009\FileFix Professional 2009 on the Web.lnk
- C:\Documents and Settings\All Users\Start Menu\Programs\FileFix Professional 2009\FileFix Professional 2009.lnk
- C:\Documents and Settings\All Users\Start Menu\Programs\FileFix Professional 2009\Uninstall FileFix Professional 2009.lnk
・%ProgramFile%は通常、C:\Program Filesを指します。
・以下のレジストリが追加されます。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\keyboard\advanced
- wizard_installed = "1"
- wizard_path = "%ProgramFiles%\FileFix Professional 2009\wizard.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Uninstall\FileFix Professional 2009_is1
- DisplayName = "FileFix Professional 2009"
- HelpLink = "http://filefixpro.com"
- Inno Setup: App Path = "%ProgramFiles%\FileFix Professional 2009"
- Inno Setup: Deselected Tasks = ""
- Inno Setup: Icon Group = "FileFix Professional 2009"
- Inno Setup: Selected Tasks = "desktopicon,quicklaunchicon"
- Inno Setup: Setup Version = "5.1.7"
- Inno Setup: User = "{ユーザ名}"
- InstallLocation = "%ProgramFiles%\FileFix Professional 2009"
- NoModify = "1"
- NoRepair = "1"
- Publisher = "DataHelper Inc."
- QuietUninstallString = "%ProgramFiles%\FileFix Professional 2009\unins000.exe" /SILENT"
- UninstallString = "%ProgramFiles%\FileFix Professional 2009\unins000.exe"
- URLInfoAbout = "http://filefixpro.com"
- URLUpdateInfo = http://filefixpro.com"
・FileFixがシステムで実行されると、すべての暗号化されたファイルをスキャンし、破損したファイルとして表示します。
・すべての破損したファイルを修復するには、ライセンスキーを購入する必要があります。
・また、システムのファイルの一部が破損しているとする、以下の偽のエラーメッセージを表示します。
