パソコン画面ロック型ランサムウェアWin32/Revetonウイルス [解析メモ]
 
{{{ 2015年1月 更新 }}}
 
イメージ 4
 
INTERPOL
SOCA
Cheshire Constabulary BE SAFE, FREE SAFE
PCeU Police Central e-crime Unit
Serious Organised Crime Agency
METROPOLITAN BRITISH POLICE

IP: 109.105.134.11
Country: United Kingdom
City: Undefined
ISP: GTS Central Europe
Operating System: Windows
User Name: Administrator

ATTENTION!
Your computer has been blocked up for safety reasons listed below.
 
無料ウイルス対策を実施してないユーザーをターゲットに、警察機関などを名乗ってWindowsパソコンの画面をロックする身代金型ウイルス(ランサムウェア)の1つ Ransom:Win32/Reveton<プログラムはDelphi製
 
 
イメージ 2
身代金 Paysafecard 決済完了時のウィンドウ
 
イメージ 3
身代金 Ukash 決済完了時のウィンドウ
 
ICSPA International Cyber Security Protection Alliance
ICE The ICE Cyber Crime Center
Homeland Security / National Cyber Security Division
PCeU Police Central e-crime Unit / Serios Organised Crime Agency / Metropolitan British Police

Ransom:Win32/Reveton ファイル&レジストリ

パソコンを立ち上げた時にマルウェアを起動するパス
(1) スタートアップフォルダにショートカットを新規作成する
(2) 元からあるWindowsサービス(WMI)の起動パラメータを改ざんする
 
《ファイル》
C:\ProgramData\[ランダム文字列].cpp ← マルウェア本体

C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk ← 起動用ショートカット
 
《レジストリ》
HKLM\System\CurrentControlSet\Services\Winmgmt\Parameters\
名前 → ServiceDll
{感染後} 値のデータ → C:\PROGRA~2\[ランダム文字列].cpp
{感染前} 値のデータ → %SystemRoot%\system32\wbem\WMIsvc.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\ ~ 下記画像
 
イメージ 1
CurrentVersion ツリーで囲い部分が Reveton が作成した不正なデータ

PWS:Win32/Reveton パスワードスティーラ

イメージ 5
 
 
● FTPソフトのFTPアカウント
FFFTP WinSCP → マスターパスワード機能を利用してない場合に被害アリ
FileZilla → FTPアカウント情報のパスワードを保存した場合に被害アリ
 
● IE、Firefox、Chrome ブラウザのオートコンプリート
Firefox → マスターパスワード機能を利用してない場合に被害アリ
IE Chrome → パスワードを保存してる場合に被害アリ
 
● メールソフト

駆除削除作業に入る前に…

パソコンが起動してデスクトップ画面が表示された後、Reveton のロック画面に移行するまでのホンの十秒程度のラグをうまく使える?
 
【1】 デスクトップ画面が表示されたら、とにかく超急いでテキストエディタ(メモ帳など)を起動して、すぐに1文字以上の文字列を打ち込む
 
~ Reveton ロック画面に突入! ~
 
【2】 キーボードの Ctrl + Alt + Del キーを同時押しする
 
【3】 中央メニューにある Windows Vista/7 なら [ログオフ(L)] 、Windows 8 なら [サインアウト(O)] をクリックする
 
【4】 『*個のプログラムが閉じられていません:』として、テキストエディタの保存が済んでないから終了できないという暗転画面になるので、[キャンセル]ボタン をクリックする
 
Revetonウイルスに感染してるけど起動はしてない状態に!
 

セキュリティ会社の脅威情報

● TROJ_REVETON.YZV | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_REVETON.YZV

● キヤノンITソリューションズ:ESET Smart Security & ESET NOD32アンチウイルス:Win32/Reveton.AJ
http://canon-its.jp/product/nd/virusinfo/vr_win32_reveton_aj.html

 
● Ransom:Win32/Reveton Ransom:Win32/Reveton!lnk - Microsoft Malware Protection Center
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Reveton