・配布方式 : 未確認

・MD5 : 0913c7b8c884865649b70c3241bf27cd

・検知名 : W32/Crysis.W!tr.ransom  (Fortinet), Ransom.Crysis.Generic (Malwarebytes)

・ファイル暗号化パターン : .id-.[undogdianact1986@aol.com].frend

・悪性ファイル生成場所

- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta

- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta

- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%AppDataRoamingInfo.hta

- C:Users%UserName%AppDataRoaming.exe

- C:WindowsSystem32Info.hta

- C:WindowsSystem32.exe

- C:Users%UserName%DesktopFILES ENCRYPTED.txt

- C:UsersPublicDesktopFILES ENCRYPTED.txt

- <ドライブ名>:FILES ENCRYPTED.txt

・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta

・特徴
- オフライン暗号化 (Offline Encryption)

- Dharma / Phobos / Troldesh ランサムウェア類

- 特定プロセス (1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe) 実行遮断

- 特定サービス (mssqlserver, sqlserveradhelper, sqlwriter など)中止

- システム復元無力化 (vssadmin delete shadows /all /quiet など)