製品情報 PRODUCTINFO
AppCheck
【Hentai Onichan Ransomware (.docm / readmerecovery.txt) 攻撃映像】
- 照会
- 14100
・配布方式:未確認
・MD5 : 6478ba983b659f00466da5dd61bf9768
・主な検知名:Ransomware/Win.TAIHENCHAN.C4534360 (AhnLab V3), W64/Donut.VF!tr.ransom (Fortinet)
・ファイル暗号化パターン:.docm
・決済案内ファイル:readmerecovery.txt
・主な特徴
- オフライン暗号化(OfflineEncryption)
- "MicrosoftWindows"デジタル署名を使用
- 作業管理者(Taskmgr.exe)の実行をブロック
- 特定プロセス(dnSpyx64.exe、joeboxcontrol.exe、pe-sieve64.exe、procexp32.exe、sysAnalyzer.exe、wireshark.exeなど)の実行をブロック
- イベントログ削除(wevtutil.execl"Analytic",wevtutil.execl"DebugChannel",wevtutil.execl"DirectShowFilterGraph",wevtutil.execl"DirectShowPluginControl",wevtutil.execl"Els_Hyphenation/Analytic"など)
- システム復元の無力化(wbadmindeletecatalog-quiet、wbadminDELETESYSTEMSTATEBACKUP-deleteOldest、wmicSHADOWCOPYdelete、vssadminDeleteShadows/all/quiet、bcdedit/set{default}bootstatuspolicyiganoreallfailureset,bulesset{decoverydeset} /maxsize=401MB、vssadminresizeshadowstorage/for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
- デスクトップ背景(C:\Windows\System32\spool\drivers\color\meme.jpg)変更
・MD5 : 6478ba983b659f00466da5dd61bf9768
・主な検知名:Ransomware/Win.TAIHENCHAN.C4534360 (AhnLab V3), W64/Donut.VF!tr.ransom (Fortinet)
・ファイル暗号化パターン:.docm
・決済案内ファイル:readmerecovery.txt
・主な特徴
- オフライン暗号化(OfflineEncryption)
- "MicrosoftWindows"デジタル署名を使用
- 作業管理者(Taskmgr.exe)の実行をブロック
- 特定プロセス(dnSpyx64.exe、joeboxcontrol.exe、pe-sieve64.exe、procexp32.exe、sysAnalyzer.exe、wireshark.exeなど)の実行をブロック
- イベントログ削除(wevtutil.execl"Analytic",wevtutil.execl"DebugChannel",wevtutil.execl"DirectShowFilterGraph",wevtutil.execl"DirectShowPluginControl",wevtutil.execl"Els_Hyphenation/Analytic"など)
- システム復元の無力化(wbadmindeletecatalog-quiet、wbadminDELETESYSTEMSTATEBACKUP-deleteOldest、wmicSHADOWCOPYdelete、vssadminDeleteShadows/all/quiet、bcdedit/set{default}bootstatuspolicyiganoreallfailureset,bulesset{decoverydeset} /maxsize=401MB、vssadminresizeshadowstorage/for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
- デスクトップ背景(C:\Windows\System32\spool\drivers\color\meme.jpg)変更
このようなランサムウェア攻撃に備える商品はこちら