・配布方式 : 未確認

・MD5 : 19bc803908e398f8393e9f8762293057

・検知名 : Trojan/Win32.Xorist.R25524 (AhnLab V3), TR/Ransom.Xorist.EJ (Avira)

・ファイル暗号化パターン : .lockedfile

・悪性ファイル生成場所

  - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\HOW TO DECRYPT FILES.txt

  - C:\Users\%UserName%\AppData\Local\Temp\XHSqRBLu6k56w8u.exe

  - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt

・決済案内ファイル : HOW TO DECRYPT FILES.txt

・特徴
  - オフライン暗号化 (Offline Encryption)

  - Boom / Xorist-Frozen ランサムウェア類

  - 暗号化されたファイル(.lockedfile)アイコン変更(HKEY_CLASSES_ROOT\EDHEUKYGNGOYNIM)及び実行時ランサムウェアファイル(%Temp%\XHSqRBLu6k56w8u.exe)実行