製品情報 PRODUCTINFO
AppCheck
【GlobeImposter Ransomware (.xls) 攻撃映像】
- 照会
- 8022
・配布方式:未確認
・MD5 : 2f121145ea11b36f9ade0cb8f319e40a
・検知名:Trojan.Ransom.GlobeImposter (ALYac), Trojan:MSIL/AgentTesla.DXD!MTB (Microsoft)
・ファイル暗号化パターン:.xls
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe
- C:\Users\%UserName%\AppData\Roaming\jVYbanglCI.exe
- C:\Windows\System32\Tasks\Updates
- C:\Windows\System32\Tasks\Updates\jVYbanglCI
・決済案内ファイル:read-me.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- "Updates\jVYbanglCI"作業スケジューラー登録値にて、ユーザログイン時"%AppData%\jVYbanglCI.exe"ファイルを自動実行
- システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
・MD5 : 2f121145ea11b36f9ade0cb8f319e40a
・検知名:Trojan.Ransom.GlobeImposter (ALYac), Trojan:MSIL/AgentTesla.DXD!MTB (Microsoft)
・ファイル暗号化パターン:.xls
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe
- C:\Users\%UserName%\AppData\Roaming\jVYbanglCI.exe
- C:\Windows\System32\Tasks\Updates
- C:\Windows\System32\Tasks\Updates\jVYbanglCI
・決済案内ファイル:read-me.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- "Updates\jVYbanglCI"作業スケジューラー登録値にて、ユーザログイン時"%AppData%\jVYbanglCI.exe"ファイルを自動実行
- システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")