ブログ BLOG
動画
【GlobeImposter Ransomware (.Readinstruction / how_to_back_files.html) 攻撃映像】
- 作成日時
- 2023-02-02
- 照会
- 6474
・配布方式 : リモートデスクトッププロトコル(Remote Desktop Protocol、RDP)及びターミナルサービスによるリモートアクセス
・MD5 : ee18426cb426891d2cfa9a4243fec10d
・主な探知名 : Generic.Ransom.GlobeImposter.2B49E1BA (BitDefender), Ransom.GlobeImposter (Malwarebytes)
・ファイル暗号化パターン : .Readinstruction
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe
・決済案内ファイル : how_to_back_files.html
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe/PSCryptランサムウェア系
- システム復元無力化(vssadmin.exe Delete Shadows / All / Quiet)
- ターミナルサーバークライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
・MD5 : ee18426cb426891d2cfa9a4243fec10d
・主な探知名 : Generic.Ransom.GlobeImposter.2B49E1BA (BitDefender), Ransom.GlobeImposter (Malwarebytes)
・ファイル暗号化パターン : .Readinstruction
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe
・決済案内ファイル : how_to_back_files.html
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe/PSCryptランサムウェア系
- システム復元無力化(vssadmin.exe Delete Shadows / All / Quiet)
- ターミナルサーバークライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")