行く面積
メーンメニュー 行く
本文 行く

製品情報 PRODUCTINFO

AppCheck 【Ryuk Ransomware ({Filename}.{Ext.} / RyukReadMe.txt / Ver. Gentlemen) 攻撃映像】
3113
 
・配布方式:未確認

・MD5 : c0202cf6aeab8437c638533d14563d35

・検知名 : Trojan.Ransom.Ryuk.A (BitDefender), Trojan-Ransom.Win32.Hermez.bn (Kaspersky)

・ファイル暗号化パターン : <原本ファイル名>.<原本拡張子名>

・悪性ファイル生成場所

- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\RyukReadMe.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt
- C:\Users\Public\PUBLIC
- C:\Users\Public\sys
- C:\Users\Public\UNIQUE_ID_DO_NOT_REMOVE
- C:\Users\Public\window.bat

・決済案内ファイル :RyukReadMe.txt

・主な特徴

- オフライン暗号化(Offline Encryption)
- Hermesランサムウェア系
- 実行中の様々なプロセスに、コードインジェクションによるファイル暗号化
- 特定プロセス(agntsvc.exe, dbeng50.exe, excel.exe, msftesql.exe, mydesktopqos.exe, zoolz.exeなど)実行遮断
- 特定サービス(Acronis VSS Provider, Enterprise Client Service, Sophos Agent, SQLsafe Backup Service, Symantec System Recovery, Veeam Backup Catalog Data Serviceなど)中止
- システム復元無効化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=unbounded)
- バックアップファイル(<ドライブ文字>:\*.bac, <ドライブ文字>:\*.bak, <ドライブ文字>:\*.bkf, <ドライブ文字>:\*.dsk, <ドライブ文字>:\*.set, <ドライブ文字>:\*.VHD, <ドライブ文字>:\*.wbcat, <ドライブ文字>:\*.win, <ドライブ文字>:\Backup*.*, <ドライブ文字>:\backup*.*)削除
 
  このようなランサムウェア攻撃に備える商品はこちら
 

次の投稿 前の投稿 リスト