ブログ BLOG
動画
【GlobeImposter Ransomware (.Rabbit4444) 攻撃映像】
- 作成日時
- 2023-08-25
- 照会
- 3301
・配布方式 : 未確認
・MD5 : d6a83eed4b188f3d055fd516adab312c
・主な探知名 : Trojan.Ransom.Maoloa.A (BitDefender), Trojan:Win32/Tiggre!rfn (Microsoft)
・ファイル暗号化パターン : .Rabbit4444
・決済案内ファイル : HOW TO BACK YOUR FILES.txt
・主な特徴:
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- 特定サービス(MongoDB, MSSQLSERVER, MySQL, OracleServiceORCL, SQLWriter, vssなど)中止
- 特定サービス(sc config MongoDB start=disabled, sc config MSSQLServerOLAPService start=disabled, sc config MySQL start=disabled, sc config ReportServer start=disabled, sc config SQLWriter start=disabled, sc config vss start=disabledなど)設定変更
- システム復元無力化(vssadmin delete shadows /all)
- ターミナルサーバークライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
・MD5 : d6a83eed4b188f3d055fd516adab312c
・主な探知名 : Trojan.Ransom.Maoloa.A (BitDefender), Trojan:Win32/Tiggre!rfn (Microsoft)
・ファイル暗号化パターン : .Rabbit4444
・決済案内ファイル : HOW TO BACK YOUR FILES.txt
・主な特徴:
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- 特定サービス(MongoDB, MSSQLSERVER, MySQL, OracleServiceORCL, SQLWriter, vssなど)中止
- 特定サービス(sc config MongoDB start=disabled, sc config MSSQLServerOLAPService start=disabled, sc config MySQL start=disabled, sc config ReportServer start=disabled, sc config SQLWriter start=disabled, sc config vss start=disabledなど)設定変更
- システム復元無力化(vssadmin delete shadows /all)
- ターミナルサーバークライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")