製品情報 PRODUCTINFO
- 照会
- 16999
・配布方式 : 未確認
・MD5 : 0913c7b8c884865649b70c3241bf27cd
・検知名 : W32/Crysis.W!tr.ransom (Fortinet), Ransom.Crysis.Generic (Malwarebytes)
・ファイル暗号化パターン : .id-.[undogdianact1986@aol.com].frend
・悪性ファイル生成場所
- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta
- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe
- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta
- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe
- C:Users%UserName%AppDataRoamingInfo.hta
- C:Users%UserName%AppDataRoaming.exe
- C:WindowsSystem32Info.hta
- C:WindowsSystem32.exe
- C:Users%UserName%DesktopFILES ENCRYPTED.txt
- C:UsersPublicDesktopFILES ENCRYPTED.txt
- <ドライブ名>:FILES ENCRYPTED.txt
・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta
・特徴
- オフライン暗号化 (Offline Encryption)
- Dharma / Phobos / Troldesh ランサムウェア類
- 特定プロセス (1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe) 実行遮断
- 特定サービス (mssqlserver, sqlserveradhelper, sqlwriter など)中止
- システム復元無力化 (vssadmin delete shadows /all /quiet など)