行く面積
メーンメニュー 行く
本文 行く

ブログ BLOG

動画 【MedusaLocker Ransomware(.ReadInstruction) 攻撃映像】
2022-04-26
509
 
 

・配布方式 : リモートデスクトッププロトコル(RDP)及びターミナルサービスによる遠隔接続

 

MD5 : eed59ff51925e55a7b8c1ad4deee802d

 

ファイル暗号化パターン : .ReadInstruction

 

・悪性ファイル生成場所

- C:\Users\%UserName%\AppData\Roaming\svhost.exe

- C:\Windows\System32\Tasks\svhost

 

・決済案内ファイル : HOW_TO_RECOVER_DATA.html

 

・特徴
- EFIシステムパーティション(X:\)+回復/システム予約パーティション(Y:\)ドライブ表示及び内部ファイルを暗号化

- ユーザーアカウントコントロール(UAC)通知機能の無効化

- 特定のプロセス(360doctor.exe,Culture.exe,MsDtSrvr.exe,RTVscan.)exe,sqlservr.exe,tomcat6.exeなど)の実行遮断

- 特定サービス(cCEvtMgr,Culserver,DefWatch,SQLADHLP,sqlagent,vvware-usbarbitator64など)の中止

- システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP, wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest, wmic.exe SHADOWCOPY /nointeractive)

- svhostタスクスケジューラー登録値を通じ、15分単位で"%AppData%\svhost.exe"ランサムウェアファイルを自動実行
 

次の投稿 前の投稿 リスト