・配布方式: リモートデスクトッププロトコル(Remote Desktop Protocol, RDP)及びターミナルサービスによるリモート接続

・MD5 : 83e976a155da5a3094715aa369d3fb3c

・検知名 : DeepScan:Generic.Ransom.Spora.A31C6C6D (BitDefender), Trojan:Win32/Caynamer.A!ml (Microsoft)

・ファイル暗号化パターン : .[].[ustedesfil@safeswiss.com].sojusz

・決済案内ファイル : -----README_WARNING-----.txt

・主な特徴

- オフライン暗号化(Offline Encryption)
- 復元/システム予約パーティション(F:\) + EFIシステムパーティション(G:\)ドライブ活性化及び内部ファイル暗号化
- 特定プロセス(360doctor.exe, Defwatch.exe, fdlauncher.exe, GDscan.exe, java.exe, qbupdate.exeなど)実行遮断
- 特定サービス(ccEvtMgr, MsDtsServer100, MSSQL, QBIDPService, vmicshutdown, vssなど)中止
- システム復元無力化(powershell -command "Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}", vssadmin delete shadows /all /quiet, wmic.exe SHADOWCOPY delete /nointeractive, vssadmin.exe Delete Shadows /All /Quiet, vssadmin.exe Resize ShadowStorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB, vssadmin.exe Resize ShadowStorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=unbounded, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin.exe DELETE CATALOG -quiet, wbadmin.exe DELETE SYSTEMSTATEBACKUP, wbadmin.exe DELETE SYSTEMSTATEBACKUP -deleteoldest )
- バックアップファイル削除(<ドライブ文字>:\*.bac, <ドライブ文字>:\*.bak, <ドライブ文字>:\*.bkf, <ドライブ文字>:\*.dsk, <ドライブ文字>:\*.set, <ドライブ文字>:\*.VHD, <ドライブ文字>:\*.wbcat, <ドライブ文字>:\*.win, <ドライブ文字>:\Backup*.*, <ドライブ文字>:\backup*.*)