製品情報 PRODUCTINFO
AppCheck
【MedusaLocker Ransomware (.L16) 攻撃映像】
- 照会
- 7324
・配布方式:未確認
・MD5 : 2120cf93b6be39884f951ee2a31c5999
・検知名 : Generic.Ransom.MedusaLocker.5C3CF31C (BitDefender), Trojan-Ransom.Win32.Medusa.n (Kaspersky)
・ファイル暗号化パターン : .L16
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Roaming\svhost.exe
- C:\Windows\System32\Tasks\svhost
・決済案内ファイル : HOW_TO_RECOVER_DATA.html
・主な特徴
- オフライン暗号化(Offline Encryption)
- EFIシステムパーティション(X:\) + 復元/システム予約パーティション(Y:\)ドライブアクティベーション及び内部ファイル暗号化
- ユーザアカウントコントロール(UAC)通知機能ディアクティベーション
- 特定プロセス(360doctor.exe, Culture.exe, MsDtSrvr.exe, RTVscan.exe, sqlservr.exe, tomcat6.exeなど)実行遮断
- 特定サービス(ccSetMgr, Culserver, DefWatch, SQLADHLP, sqlagent, vmware-usbarbitator64など)中止
- システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP, wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest, wmic.exe SHADOWCOPY /nointeractive)
- svhost作業スケジューラーの登録値により15分単位で"%AppData%\svhost.exe"ランサムウェアファイルの自動実行
・MD5 : 2120cf93b6be39884f951ee2a31c5999
・検知名 : Generic.Ransom.MedusaLocker.5C3CF31C (BitDefender), Trojan-Ransom.Win32.Medusa.n (Kaspersky)
・ファイル暗号化パターン : .L16
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Roaming\svhost.exe
- C:\Windows\System32\Tasks\svhost
・決済案内ファイル : HOW_TO_RECOVER_DATA.html
・主な特徴
- オフライン暗号化(Offline Encryption)
- EFIシステムパーティション(X:\) + 復元/システム予約パーティション(Y:\)ドライブアクティベーション及び内部ファイル暗号化
- ユーザアカウントコントロール(UAC)通知機能ディアクティベーション
- 特定プロセス(360doctor.exe, Culture.exe, MsDtSrvr.exe, RTVscan.exe, sqlservr.exe, tomcat6.exeなど)実行遮断
- 特定サービス(ccSetMgr, Culserver, DefWatch, SQLADHLP, sqlagent, vmware-usbarbitator64など)中止
- システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP, wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest, wmic.exe SHADOWCOPY /nointeractive)
- svhost作業スケジューラーの登録値により15分単位で"%AppData%\svhost.exe"ランサムウェアファイルの自動実行