2012年8月6日掲載
株式会社Doctor Web Pacific
Trojan.ArchiveLock.2はPureBasicで書かれており、システム内に侵入するとその動作を停止させて画面上に犯罪者の要求を表示させます。
次に、暗号化アプリケーションをシステムフォルダ内に置きます。installまたはiオプションで起動されると、この暗号化プログラムがシステムサービスとしてインストールされます。ファイル名およびサービスの記述は、トロイの木馬のバージョンによって異なります。
システムサービスとして起動された暗号化モジュールは多数のファイルを作成し、そのいくつかは設定データ、設定ファイル・ログ・実行ファイルへのパス、感染したコンピューターに関する情報を保存するために使用されます。特に、OSのバージョン、ロケール、動作中のアプリケーションによって開かれたウィンドウのタイトル、Windowsの起動モード(またはセーフモード)に関する情報を保存し、その後ごみ箱を空にし、暗号化されたファイル及び削除されたファイルのリストを作成します。まず最初に、バックアップであると思われるファイルが削除されます。次に、Trojan.ArchiveLock.2は特別なルーチンを使用してパスワードのリストを作成し、前述のリスト上にあるファイルをパスワード保護されたSFXアーカイブ内に置くためにWinRARを起動させます。 Trojan.ArchiveLock.2は100を超える種類のファイルを暗号化することが可能です。オリジナルのファイルはSysinternals SDeleteによって繰り返し上書きされ削除されるため、復元することが出来なくなります。アーカイブを保護するパスワードには、ハードディスクのシリアル番号を使用して作成された容易なものもあれば、50個を超える記号を使用した特別なものもあります。暗号化されたファイルの名前もまた、特定のパターンに応じて変更されます。例えば、画像ファイルpicture.jpgを含んだアーカイブはpicture.jpg(!! to decrypt email id 12345678 to sec****@gmail.com !!).exeという名前になります。
また、Trojan.ArchiveLock.2には復号モジュールも備わっており、ユーザーが正しいパスワードを入力した際には圧縮されたファイルが復元されます。
Dr.Webアンチウイルスソフトウェアのデータベースにはこのトロイの木馬のシグネチャが既に加えられているため、Dr.Web Anti-virus または Dr.Web Security Spaceをご利用のユーザーにとってTrojan.ArchiveLock.2は危険なものではありません。さらにDoctor Webのアナリストは、このトロイの木馬によって暗号化されたファイルを高い確率で復元させる特別な方法を編み出しています。万一Trojan.ArchiveLock.2によってファイルが暗号化されてしまった場合は、カテゴリで修復依頼を選択した上でチケットを提出してください。ファイルの削除やOSの再インストールは行わないようにしてください。ファイルの複合化が出来なくなってしまう可能性があります。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments