製品情報 PRODUCTINFO
AppCheck
【Thanos Ransomware (.[ID-{Random}].[pingp0ng@tuta.io].noname) 攻撃映像】
- 照会
- 13040
・配布方式 : リモートデスクトッププロトコル(Remote Desktop Protocol、RDP)及びターミナルサービスによるリモートアクセス
・MD5 : af745cf9bbc68f8652678a1299abb68d
・主な探知名 : MSIL/Thanos.A!tr.ransom (Fortinet), HEUR:Trojan-Ransom.MSIL.Thanos.gen (Kaspersky)
・ファイル暗号化パターン : .[ID-].[pingp0ng@tuta.io].noname
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Local\Temp\decrypt_info.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk
- C:\Users\%UserName%\Desktop\decrypt_info.txt
・決済案内ファイル : decrypt_info.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Windowsファイアウォールルールの許容("netsh" advfirewall firewall set rule group=\"File and Printer Sharing\" new enable=Yes, "netsh" advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes)
- Raccineランサムウェア保護プログラム無効化("taskkill" /F /IM RaccineSettings.exe, "reg" delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Raccine Tray" /F, "reg" delete HKCU\Software\Raccine /F, "schtasks" /DELETE /TN "Raccine Rules Updater" /F)
- 特定プロセス(agntsvc.exe, firefoxconfig.exe, mspub.exe, mydesktopqos.exe, sqbcoreservice.exe, steam.exeなど)実行遮断
- 特定サービス(avpsus, BMR Boot Service, DefWatch, McAfeeDLPAgentService, NetBackup BMR MTFTP Service, RTVscanなど)中止
- 特定サービス("sc.exe" config Dnscache start= auto, "sc.exe" config FDResPub start= auto, "sc.exe" config SQLTELEMETRY start= disabled, "sc.exe" config SQLTELEMETRY$ECWDB2 start= disabled, "sc.exe" config SQLWriter start= disabled, "sc.exe" config SSDPSRV start= auto, "sc.exe" config SstpSvc start= disabled, "sc.exe" config upnphost start= auto)無効化
- システム復元無効化("powershell.exe" & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); })
- ゴミ箱を空ける("cmd.exe"/crd/s/q<ドライブ文字>\$Recycle.bin)
・MD5 : af745cf9bbc68f8652678a1299abb68d
・主な探知名 : MSIL/Thanos.A!tr.ransom (Fortinet), HEUR:Trojan-Ransom.MSIL.Thanos.gen (Kaspersky)
・ファイル暗号化パターン : .[ID-].[pingp0ng@tuta.io].noname
・悪性ファイルの生成位置
- C:\Users\%UserName%\AppData\Local\Temp\decrypt_info.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk
- C:\Users\%UserName%\Desktop\decrypt_info.txt
・決済案内ファイル : decrypt_info.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Windowsファイアウォールルールの許容("netsh" advfirewall firewall set rule group=\"File and Printer Sharing\" new enable=Yes, "netsh" advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes)
- Raccineランサムウェア保護プログラム無効化("taskkill" /F /IM RaccineSettings.exe, "reg" delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Raccine Tray" /F, "reg" delete HKCU\Software\Raccine /F, "schtasks" /DELETE /TN "Raccine Rules Updater" /F)
- 特定プロセス(agntsvc.exe, firefoxconfig.exe, mspub.exe, mydesktopqos.exe, sqbcoreservice.exe, steam.exeなど)実行遮断
- 特定サービス(avpsus, BMR Boot Service, DefWatch, McAfeeDLPAgentService, NetBackup BMR MTFTP Service, RTVscanなど)中止
- 特定サービス("sc.exe" config Dnscache start= auto, "sc.exe" config FDResPub start= auto, "sc.exe" config SQLTELEMETRY start= disabled, "sc.exe" config SQLTELEMETRY$ECWDB2 start= disabled, "sc.exe" config SQLWriter start= disabled, "sc.exe" config SSDPSRV start= auto, "sc.exe" config SstpSvc start= disabled, "sc.exe" config upnphost start= auto)無効化
- システム復元無効化("powershell.exe" & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); })
- ゴミ箱を空ける("cmd.exe"/crd/s/q<ドライブ文字>\$Recycle.bin)