製品情報 PRODUCTINFO
AppCheck
【GlobeImposter Ransomware (.farrattack / How_to_recovery.txt) 攻撃映像】
- 照会
- 7502
・配布方式:リモートデスクトッププロトコル(Remote Desktop Protocol、RDP)及びターミナルサービスによるリモートアクセス
・MD5 : 49043b649d88d19848d982b7b16ffc24
・検知名 : Ransom.FileLocker (Malwarebytes), Trojan:Win32/Sabsik.FL.B!ml (Microsoft)
・ファイル暗号化パターン : .farrattack
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Local\.exe
・決済案内ファイル : How_to_recovery.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe/PSCryptランサムウェア系
- 復旧/システム予約パーティション (A:\) + EFIシステムパーティション (B:\) ドライブの活性化
- システム復元無力化(vssadmin.exe Delete Shadows / All / Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminalサーバクライアント\Default"/va/f、 reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
・MD5 : 49043b649d88d19848d982b7b16ffc24
・検知名 : Ransom.FileLocker (Malwarebytes), Trojan:Win32/Sabsik.FL.B!ml (Microsoft)
・ファイル暗号化パターン : .farrattack
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Local\.exe
・決済案内ファイル : How_to_recovery.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe/PSCryptランサムウェア系
- 復旧/システム予約パーティション (A:\) + EFIシステムパーティション (B:\) ドライブの活性化
- システム復元無力化(vssadmin.exe Delete Shadows / All / Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminalサーバクライアント\Default"/va/f、 reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")