製品情報 PRODUCTINFO
AppCheck
【Sodinokibi Ransomware(.{5~10-Digit Ext.}/{Ext.}-readme.txt/Ver. Kaseya VSA) 攻撃映像】
- 照会
- 16417
・配布方式 : KaseyaVSA製品の権限上昇の脆弱性
・MD5 : 561cffbaba71a6e8cc1cdceda990ead4
・検知名 : Ransomware/Win.Sodinokibi.C4540962 (AhnLab V3), TR/AD.SodinoRansom.xacle (Avira)
・ファイル暗号化パターン : .<5~10桁のRandom拡張子名>
・悪性ファイル生成場所
- C:Windowsmpsvc.dll
- C:WindowsMsMpEng.exe
・決済案内ファイル : <暗号化拡張子名>-readme.txt
・特徴
- オフライン暗号化(OfflineEncryption)
- AnteFrigus/GandCrabランサムウェア系
- 「PB03TRANSPORTLTD.」デジタル署名使用
- Windowsファイアウォールのルール許容(NetworkDiscovery)
- システム復元の無力化
- デスクトップ背景(C:Users%UserName%AppDataLocalTemp.bmp)を変更