製品情報 PRODUCTINFO
AppCheck
【Stop Ransomware(.fgnh) の暗号化攻撃に対し、AppCheckが検知・遮断・復元を行う映像】
- 照会
- 16
・配布方式:未確認
・MD5 : 03c770b349d70f254468b01f8d7aab88
・検知名 : Ransom:Win32/StopCrypt.PAZ!MTB (Microsoft), Ransom.Win32.STOP.SMYXCDGT.hp (Trend Micro)
・ファイル暗号化パターン : .fgnh
・悪性ファイル生成場所
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\build2.exe
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Users\%UserName%\AppData\Local\bowsakkdestx.txt
- C:\Windows\System32\Tasks\Time Trigger Task
・決済案内ファイル : _readme.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- "Time Trigger Task"作業スケジューラー登録値にて、5分体で"%LocalAppData%\----\.exe --Task"ランサムウェア再実行
- 情報奪取型AZORult悪性コードの追加インストール
・MD5 : 03c770b349d70f254468b01f8d7aab88
・検知名 : Ransom:Win32/StopCrypt.PAZ!MTB (Microsoft), Ransom.Win32.STOP.SMYXCDGT.hp (Trend Micro)
・ファイル暗号化パターン : .fgnh
・悪性ファイル生成場所
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\build2.exe
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Users\%UserName%\AppData\Local\bowsakkdestx.txt
- C:\Windows\System32\Tasks\Time Trigger Task
・決済案内ファイル : _readme.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- "Time Trigger Task"作業スケジューラー登録値にて、5分体で"%LocalAppData%\----\.exe --Task"ランサムウェア再実行
- 情報奪取型AZORult悪性コードの追加インストール