・配布方式 : 未確認

・MD5 : 099620a420b495280a671ac400991dbf

・検知名 : HEUR:Trojan-Ransom.Win32.Stop.gen (Kaspersky), Ransom_Stop.R002C0DFK21 (Trend Micro)

・ファイル暗号化パターン : .iqll

・悪性ファイル生成場所

  - C:\SystemID

  - C:\SystemID\PersonalID.txt

  - C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>

  - C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\5.exe

  - C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\<Random>.exe

  - C:\Users\%UserName%\AppData\Local\bowsakkdestx.txt

  - C:\Windows\System32\Tasks\Time Trigger Task

・決済案内ファイル : _readme.txt

・特徴

  - オフライン暗号化 (Offline Encryption)

  - 「TimeTriggerTask」作業スケジューラー登録値を通じ、5分単位で"%LocalAppData%\<Random>-<Random>-<Random>-<Random>\<Random>.exe--Task"ランサムウェアを再実行

  - 情報奪取型AZORult悪性コードの追加インストール