ブログ BLOG
動画
【Stop Ransomware (.hoop) 攻撃映像】
- 作成日時
- 2023-07-28
- 照会
- 3508
・配布方式 : 未確認
・MD5 : 71d03946ece51c464afd562db3bb46df
・主な探知名 : HEUR:Trojan-Ransom.Win32.Stop.gen (Kaspersky), Ransom:Win32/StopCrypt.MGK!MTB (Microsoft)
・ファイル暗号化パターン : .hoop
・悪性ファイルの生成位置
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Windows\System32\Tasks\Time Trigger Task
・決済案内ファイル : _readme.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- 特定プロセス(dbsnmp.exe, msftesql.exe, oracle.exe, sqlagent.exe, tnslsnr.exe, wordpad.exeなど)の実行遮断
- WM作業スケジューラ登録値を削除
- オフライン暗号化(Offline Encryption)
- "Time Trigger Task"作業スケジューラー登録値にて5分単位で"%LocalAppData%\----\.exe --Task"ランサムウェアを実行
・MD5 : 71d03946ece51c464afd562db3bb46df
・主な探知名 : HEUR:Trojan-Ransom.Win32.Stop.gen (Kaspersky), Ransom:Win32/StopCrypt.MGK!MTB (Microsoft)
・ファイル暗号化パターン : .hoop
・悪性ファイルの生成位置
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Windows\System32\Tasks\Time Trigger Task
・決済案内ファイル : _readme.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- 特定プロセス(dbsnmp.exe, msftesql.exe, oracle.exe, sqlagent.exe, tnslsnr.exe, wordpad.exeなど)の実行遮断
- WM作業スケジューラ登録値を削除
- オフライン暗号化(Offline Encryption)
- "Time Trigger Task"作業スケジューラー登録値にて5分単位で"%LocalAppData%\----\.exe --Task"ランサムウェアを実行