製品情報 PRODUCTINFO
AppCheck
【Globelmposter Ransomware(.system32x) 攻撃映像】
・配布方式:未確認
・MD5:c4733450035e5dc5afe37cc16904185d
・検知名:Generic.Ransom.GlobeImposter.9433054D (BitDefender), Ransom:Win32/Maoloa.KA (Microsoft)
・ファイル暗号化パターン:.system32x
・悪性ファイル生成場所:C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!INSTRUCTIONS!!.exe
・決済案内ファイル:!!INSTRUCTIONS!!.exe
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- EFIシステムパーティション(Y:\) + 復元/システム予約パーティション(Z:\)ドライブ活性化及び内部ファイル暗号化
- Windows Defenderワクチン無力化(DisableAntiSpyware)
- 特定サービス(MSSQLSERVER, MySQL, OracleServiceORCL, ReportServer, SQLWriter, vssなど)中止
- 特定サービス(sc config browser start=enabled, sc config MongoDB start=disabled, sc config MSSQLServerOLAPService start=disabled, sc config OracleMTSRecoveryService start=disabled, sc config SQLWriter start=disabled, sc config vss start=disabledなど)設定変更
- システム復元無力化(vssadmin delete shadows /all /quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
- 照会
- 169
・配布方式:未確認
・MD5:c4733450035e5dc5afe37cc16904185d
・検知名:Generic.Ransom.GlobeImposter.9433054D (BitDefender), Ransom:Win32/Maoloa.KA (Microsoft)
・ファイル暗号化パターン:.system32x
・悪性ファイル生成場所:C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!!INSTRUCTIONS!!.exe
・決済案内ファイル:!!INSTRUCTIONS!!.exe
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- EFIシステムパーティション(Y:\) + 復元/システム予約パーティション(Z:\)ドライブ活性化及び内部ファイル暗号化
- Windows Defenderワクチン無力化(DisableAntiSpyware)
- 特定サービス(MSSQLSERVER, MySQL, OracleServiceORCL, ReportServer, SQLWriter, vssなど)中止
- 特定サービス(sc config browser start=enabled, sc config MongoDB start=disabled, sc config MSSQLServerOLAPService start=disabled, sc config OracleMTSRecoveryService start=disabled, sc config SQLWriter start=disabled, sc config vss start=disabledなど)設定変更
- システム復元無力化(vssadmin delete shadows /all /quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
このようなランサムウェア攻撃に備える商品はこちら