・配布方式 : 遠隔デスクトッププロトコル(RemoteDesktopProtocol、RDP)およびターミナルサービスによる遠隔接続

・MD5 : a94fb3e4bba2713722871d8d25c65611

・検知名 : MSIL/Thanos.A!tr.rsom(Fortinet)、Ransom.Hakbit(Malwarebytes)

・ファイル暗号化パターン : .[ID-].[black_private@tuta.io].CRYSTAL

・悪性ファイル生成場所

- C:\Users\%UserName%\AppData\Local\Temp\RESTORE_FILES_INFO.txt

- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk

- C:\Users\%UserName%\Desktop\RESTORE_FILES_INFO.txt

・決済案内ファイル : RESTORE_FILES_INFO.txt

・特徴
- オフライン暗号化(OfflineEncryption)

- Prometheusランサムウェア系

- Raccineランサムウェア保護プログラムの無力化("taskill"/F/IMRaccineSettings.exe,"reg"delete"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/V"RaccineTray"/F,"reg"deleteHKCU\Software\Raccine/F,"schtasks"/DELETE/TN"RaccineRules"Updater"Updater"Up

- 特定プロセス(excel.)exe,firefoxconfig.exe,isqlplussvc.exe,mspub.exe,mydesktopservice.exe,thunderbird.exeなど)実行ブロック

- 特定サービス（avpsus、バックアップExecVSSProvider、BMRBootService、DefWatch、QBFCService、sophosなど）中止

- システム復元無力化("powershell.exe"&Get-WmiObjectWin32_Shadowcopy|ForEach-Object{$_Delete();})

- ゴミ箱空け("cmd.exe"/crd/s/q<ドライブ文字>\$Recycle.bin)

このようなランサムウェア攻撃に備える商品はこちら