製品情報 PRODUCTINFO
AppCheck
【LegionLocker v3.0 Ransomware (.LGNLCKD) 攻撃映像】
- 照会
- 8442
・配布方式:未確認
・MD5 : cdccf5b587aac1a4aeb53f8aaa465759
・検知名:Gen:Variant.Ransom.LegionLocker.1 (BitDefender), A variant of Win32/Packed.Themida.HTV (ESET)
・ファイル暗号化パターン:.LGNLCKD
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\WTHBNZD.bat
・決済案内ファイル:LegionReadMe.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- レジストリエディタ(regedit) / コマンドプロンプト(cmd.exe) / タスクマネージャー(Taskmgr)実行遮断
- Webブラウザ(chrome, firefox, iexplore, opera)の実行をブロック
- 特定プロセス(photorec_win.exe, qphotorec_win.exe, rannohdecryptor.exe, recuva.exe, sdclt.exe)実行遮断
- システム復元無力化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB、versadmin resize shadowstorage /for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
- バックアップファイル(*.bac,*.bak,*.bkf,*.dsk,*.set,*.VHD,*。wbcat, *.win, Backup*.*, backup*.*)削除
・MD5 : cdccf5b587aac1a4aeb53f8aaa465759
・検知名:Gen:Variant.Ransom.LegionLocker.1 (BitDefender), A variant of Win32/Packed.Themida.HTV (ESET)
・ファイル暗号化パターン:.LGNLCKD
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\WTHBNZD.bat
・決済案内ファイル:LegionReadMe.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- レジストリエディタ(regedit) / コマンドプロンプト(cmd.exe) / タスクマネージャー(Taskmgr)実行遮断
- Webブラウザ(chrome, firefox, iexplore, opera)の実行をブロック
- 特定プロセス(photorec_win.exe, qphotorec_win.exe, rannohdecryptor.exe, recuva.exe, sdclt.exe)実行遮断
- システム復元無力化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB、versadmin resize shadowstorage /for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
- バックアップファイル(*.bac,*.bak,*.bkf,*.dsk,*.set,*.VHD,*。wbcat, *.win, Backup*.*, backup*.*)削除