行く面積
メーンメニュー 行く
本文 行く

製品情報 PRODUCTINFO

AppCheck 【Xorist Ransomware (.lockedfile) 攻撃映像】
16983

 

・配布方式 : 未確認

 

MD5 : 19bc803908e398f8393e9f8762293057

 

・検知名 : Trojan/Win32.Xorist.R25524 (AhnLab V3), TR/Ransom.Xorist.EJ (Avira)

 

ファイル暗号化パターン : .lockedfile

 

・悪性ファイル生成場所

  - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\HOW TO DECRYPT FILES.txt

  - C:\Users\%UserName%\AppData\Local\Temp\XHSqRBLu6k56w8u.exe

  - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt

 

・決済案内ファイル : HOW TO DECRYPT FILES.txt

 

・特徴
  - オフライン暗号化 (Offline Encryption)

  - Boom / Xorist-Frozen ランサムウェア類

  - 暗号化されたファイル(.lockedfile)アイコン変更(HKEY_CLASSES_ROOT\EDHEUKYGNGOYNIM)及び実行時ランサムウェアファイル(%Temp%\XHSqRBLu6k56w8u.exe)実行

次の投稿 前の投稿 リスト