行く面積
メーンメニュー 行く
本文 行く

製品情報 PRODUCTINFO

AppCheck 【Hentai Onichan Ransomware (.docm / readmerecovery.txt) 攻撃映像】
13922

 

・配布方式:未確認

・MD5 : 6478ba983b659f00466da5dd61bf9768

・主な検知名:Ransomware/Win.TAIHENCHAN.C4534360 (AhnLab V3), W64/Donut.VF!tr.ransom (Fortinet)

・ファイル暗号化パターン:.docm

・決済案内ファイル:readmerecovery.txt

・主な特徴
- オフライン暗号化(OfflineEncryption)
- "MicrosoftWindows"デジタル署名を使用
- 作業管理者(Taskmgr.exe)の実行をブロック
- 特定プロセス(dnSpyx64.exe、joeboxcontrol.exe、pe-sieve64.exe、procexp32.exe、sysAnalyzer.exe、wireshark.exeなど)の実行をブロック
- イベントログ削除(wevtutil.execl"Analytic",wevtutil.execl"DebugChannel",wevtutil.execl"DirectShowFilterGraph",wevtutil.execl"DirectShowPluginControl",wevtutil.execl"Els_Hyphenation/Analytic"など)
- システム復元の無力化(wbadmindeletecatalog-quiet、wbadminDELETESYSTEMSTATEBACKUP-deleteOldest、wmicSHADOWCOPYdelete、vssadminDeleteShadows/all/quiet、bcdedit/set{default}bootstatuspolicyiganoreallfailureset,bulesset{decoverydeset} /maxsize=401MB、vssadminresizeshadowstorage/for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
- デスクトップ背景(C:\Windows\System32\spool\drivers\color\meme.jpg)変更
 
  このようなランサムウェア攻撃に備える商品はこちら

次の投稿 前の投稿 リスト