・配布方式：リモートデスクトッププロトコル(Remote Desktop Protocol, RDP)及びターミナルサービスによるリモート接続

・MD5 : d0422977806bae4cfe7d440920a0b00c

・検知名 : Generic.Ransom.GlobeImposter.703A002A (BitDefender), Ransom_FAKEGLOBE.SMB (Trend Micro)

・ファイル暗号化パターン : .farrattack

・悪性ファイル生成場所

- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe

・決済案内ファイル : how_to_back_files.html

・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")