行く面積
メーンメニュー 行く
本文 行く

製品情報 PRODUCTINFO

AppCheck 【CrySis Ransomware 攻撃映像 4】
17098
 
 

・配布方式 : 未確認

 

MD5 : 0913c7b8c884865649b70c3241bf27cd

 

・検知名 : W32/Crysis.W!tr.ransom  (Fortinet), Ransom.Crysis.Generic (Malwarebytes)

 

ファイル暗号化パターン : .id-.[undogdianact1986@aol.com].frend

 

・悪性ファイル生成場所

- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta

- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta

- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

- C:Users%UserName%AppDataRoamingInfo.hta

- C:Users%UserName%AppDataRoaming.exe

- C:WindowsSystem32Info.hta

- C:WindowsSystem32.exe

- C:Users%UserName%DesktopFILES ENCRYPTED.txt

- C:UsersPublicDesktopFILES ENCRYPTED.txt

- <ドライブ名>:FILES ENCRYPTED.txt

 

・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta

 

・特徴
- オフライン暗号化 (Offline Encryption)

- Dharma / Phobos / Troldesh ランサムウェア類

- 特定プロセス (1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe) 実行遮断

- 特定サービス (mssqlserver, sqlserveradhelper, sqlwriter など)中止

- システム復元無力化 (vssadmin delete shadows /all /quiet など)

次の投稿 前の投稿 リスト