ブログ BLOG
動画
【Matrix Ransomware ([KOK08@protonmail.com ].{Random}-{Random}.KOK08) 攻撃映像】
- 作成日時
- 2023-08-04
- 照会
- 3409
・配布方式 : 未確認
・MD5 : ca7274acc96e734f2f7e0c292e2bd7a6
・主な探知名 : Trojan-Ransom.Win32.Matrix.ry (Kaspersky), Ransom-Matrix.a (McAfee)
・ファイル暗号化パターン : <ソース ファイル名>。<原本拡張名> → [KOK08@protonmail.com ]。-。KOK08
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Roaming\.bat
- C:\Users\%UserName%\AppData\Roaming\.vbs
- C:\Windows\System32\Tasks\DSHCA
・決済案内ファイル : #KOK08_README#.rtf
・主な特徴
- オフライン暗号化(Offline Encryption)
- DSHCAタスクスケジューラ登録値を使用して、5分ごとに"%AppData%\.bat"ファイル実行によるシステム復元の無力化(vssadmin Delete Shadows/All/Quiet,wmic SHADOWCOPY DELETE, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- デスクトップ背景(C:\Users\%UserName%\AppData\Roaming\.bmp)変更
・MD5 : ca7274acc96e734f2f7e0c292e2bd7a6
・主な探知名 : Trojan-Ransom.Win32.Matrix.ry (Kaspersky), Ransom-Matrix.a (McAfee)
・ファイル暗号化パターン : <ソース ファイル名>。<原本拡張名> → [KOK08@protonmail.com ]。-。KOK08
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Roaming\.bat
- C:\Users\%UserName%\AppData\Roaming\.vbs
- C:\Windows\System32\Tasks\DSHCA
・決済案内ファイル : #KOK08_README#.rtf
・主な特徴
- オフライン暗号化(Offline Encryption)
- DSHCAタスクスケジューラ登録値を使用して、5分ごとに"%AppData%\.bat"ファイル実行によるシステム復元の無力化(vssadmin Delete Shadows/All/Quiet,wmic SHADOWCOPY DELETE, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- デスクトップ背景(C:\Users\%UserName%\AppData\Roaming\.bmp)変更