・配布方式 : リモートデスクトッププロトコル(RemoteDesktopProtocol,RDP)およびターミナルサービスによるリモート接続

・MD5 : 2b7768ae4968fe23be3d205f0644365e

・検知名 : Win32/Neshta  (AhnLab V3), Virus:Win32/Neshta.A (Microsoft)

・ファイル暗号化パターン : .id[-2930].[reopening1999@tutanota.com].eking

・悪性ファイル生成場所

- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%AppDataLocalTemp82-490

- C:Users%UserName%AppDataLocalTemp82-490.exe

- C:Users%UserName%AppDataLocal.exe

- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%Desktopinfo.hta

- C:Users%UserName%Desktopinfo.txt

- C:UsersPublicDesktopinfo.hta

- C:UsersPublicDesktopinfo.txt

- <ドライブ文字>:info.hta

- <ドライブ文字>:info.txt

・決済案内ファイル : info.hta / info.txt

・特徴
- オフライン暗号化 (Offline Encryption)

- CrySis/Troldeshランサムウェア系

- Windowsファイアウォール無力化(netshadvfirewallsetcurrentprofilestateoff,netshfirewallsetopmodemode=disable)

- 特定プロセス(isqlplussvc.exe,oracle.exe,sqlagent.exe,sqlbrowser.exe,sqlservr.exe,sqlwriter.exeなど)の実行遮断

- システム復元無力化(vssadmindeleteshadows/all/quiet,wmicshadowcopydelete,bcdedit/set{default}bootstatuspolicyignoreallfailures,bcdedit/set{default}recoveryenabledno,wbadmindeletecatalog-quiet)