ファイルサイズ: 286,720 bytes
タイプ: , DLL
メモリ常駐: なし
発見日: 2016年11月21日
ペイロード: ファイルの作成
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- %Desktop%\-INSTRUCTION.html - ransom note
- %Desktop%\-INSTRUCTION.bmp - image used as wallpaper
- {folders containing encrypted files}\_[number]-INSTRUCTION.html - ransom note
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
Webブラウザのホームページおよび検索ページの変更
マルウェアは、IEのゾーン設定を変更します。
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {random}.su
- {random}.org
- {random}.work
- {random}.click
- {random}.info
マルウェアは、以下の拡張子をもつファイルを暗号化します。
- .7zip
- .SQLITE3
- .SQLITEDB
- .accdb
- .accde
- .accdr
- .accdt
- .agdl
- .aiff
- .aspx
- .asset
- .back
- .backup
- .backupdb
- .bank
- .blend
- .cdr3
- .cdr4
- .cdr5
- .cdr6
- .cdrw
- .class
- .config
- .contact
- .craw
- .d3dbsp
- .db_journal
- .ddoc
- .ddrw
- .design
- .djvu
- .docb
- .docm
- .docx
- .dotm
- .dotx
- .erbsql
- .flac
- .flvv
- .forge
- .gray
- .grey
- .groups
- .html
- .ibank
- .incpas
- .indd
- .java
- .jpeg
- .kdbx
- .kpdx
- .laccdb
- .lay6
- .litemod
- .litesql
- .m2ts
- .mapimail
- .moneywell
- .mpeg
- .ms11
- .ms11 (Security copy)
- .nvram
- .onetoc2
- .pages
- .plus_muhd
- .potm
- .potx
- .ppam
- .ppsm
- .ppsx
- .pptm
- .pptx
- .psafe3
- .pspimage
- .qcow
- .qcow2
- .s3db
- .safe
- .sas7bdat
- .save
- .sldm
- .sldx
- .sqlite
- .sqlite3
- .sqlitedb
- .tar.bz2
- .tiff
- .vbox
- .vhdx
- .vmdk
- .vmsd
- .vmxf
- .wallet
- .wallet.dat
- .xlam
- .xlsb
- .xlsm
- .xlsx
- .xltm
- .xltx
- .ycbcra
マルウェアは、以下のファイル名を使用し、暗号化されたファイルを改称します。
- {first 8 hex characters of ID}-{next 4 hex characters of ID}-{last 4 hex characters of ID}-{4 hex characters}-{12 hex characters}.aesir