行く面積
メーンメニュー 行く
本文 行く

ブログ BLOG

動画 【Phobos Ransomware(.id[{Random}-2930].[ransom1999@tutanota.com].eking) 攻撃映像】
2022-06-08
594
 

・配布方式 : リモートデスクトッププロトコル(RemoteDesktopProtocol,RDP)およびターミナルサービスによるリモート接続

 

MD5 : 2b7768ae4968fe23be3d205f0644365e

 

・検知名 : Win32/Neshta  (AhnLab V3), Virus:Win32/Neshta.A (Microsoft)

 

ファイル暗号化パターン : .id[-2930].[reopening1999@tutanota.com].eking

 

・悪性ファイル生成場所

- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%AppDataLocalTemp82-490

- C:Users%UserName%AppDataLocalTemp82-490.exe

- C:Users%UserName%AppDataLocal.exe

- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%Desktopinfo.hta

- C:Users%UserName%Desktopinfo.txt

- C:UsersPublicDesktopinfo.hta

- C:UsersPublicDesktopinfo.txt

- <ドライブ文字>:info.hta

- <ドライブ文字>:info.txt

 

・決済案内ファイル : info.hta / info.txt

 

・特徴
- オフライン暗号化 (Offline Encryption)

- CrySis/Troldeshランサムウェア系

- Windowsファイアウォール無力化(netshadvfirewallsetcurrentprofilestateoff,netshfirewallsetopmodemode=disable)

- 特定プロセス(isqlplussvc.exe,oracle.exe,sqlagent.exe,sqlbrowser.exe,sqlservr.exe,sqlwriter.exeなど)の実行遮断

- システム復元無力化(vssadmindeleteshadows/all/quiet,wmicshadowcopydelete,bcdedit/set{default}bootstatuspolicyignoreallfailures,bcdedit/set{default}recoveryenabledno,wbadmindeletecatalog-quiet)

次の投稿 前の投稿 リスト