行く面積
メーンメニュー 行く
本文 行く

ブログ BLOG

動画 【CrySis Ransomware 攻撃映像 3】
2022-04-06
11238
 

・配布方式 : 未確認

 

MD5 : 4871028c19f28016dd2517742cad8400

 

・検知名 : Trojan/Win32.Crysis.R213980  (AhnLab V3), Ransom:Win32/Wadhrama (Microsoft)

 

ファイル暗号化パターン : .id-.[korvin0amber@cock.li].amber

 

・悪性ファイル生成場所 :

 - C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

 - C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta

 - C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

 - C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta

 - C:Users%UserName%AppDataRoaming.exe

 - C:Users%UserName%AppDataRoamingInfo.hta

 - C:Users%UserName%DesktopRECOVERY FILES.txt

 - C:UsersPublicDesktopRECOVERY FILES.txt

 - C:WindowsSystem32.exe

 - C:WindowsSystem32Info.hta

 - <ドライブ文字>:RECOVERY FILES.txt

 

・決済案内ファイル : Info.hta / RECOVERY FILES.txt

 

・特徴 :
 - オフライン暗号化 (Offline Encryption)

 - Dharma / Phobos / Troldeshランサムウェア系

 - 特定プロセス(1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exeなど)の実行遮断

 - 特定サービス(mssqlserver, sqlserveradhelper, sqlwriterなど)の終了

 - システムリカバリーの無力化(vssadmin delete shadows /all /quiet)

次の投稿 前の投稿 リスト