製品情報 PRODUCTINFO
- 照会
- 18597
・配布方式 : 未確認
・MD5 : 612d929fe93ce6523a59c0f2824f8259
・検知名 :
Trojan/Win32.Crysis.R213980 (AhnLab V3), Trojan.Ransom.Crysis.E (BitDefender)
・悪性ファイル生成場所 :
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.exe
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
- C:\Users\%UserName%\AppData\Roaming\.exe
- C:\Users\%UserName%\AppData\Roaming\Info.hta
- C:\Users\%UserName%\Desktop\FILES ENCRYPTED.txt
- C:\Users\Public\Desktop\FILES ENCRYPTED.txt
- C:\Windows\System32\.exe
- C:\Windows\System32\Info.hta
- <ドライブ名>:\FILES ENCRYPTED.txt
・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta
・特徴 :
- オフライン暗号化 (Offline Encryption)
- Dharma / Phobos / Troldesh ランサムウェア類
- 特定プロセス (1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe) 実行遮断
- 特定サービス (mssqlserver, sqlserveradhelper, sqlwriter など)中止
- システム復元無力化 (vssadmin delete shadows /all /quiet など)