製品情報 PRODUCTINFO
- 照会
- 17754
・配布方式 : 未確認
・MD5 : 4871028c19f28016dd2517742cad8400
・検知名 : Trojan/Win32.Crysis.R213980 (AhnLab V3), Ransom:Win32/Wadhrama (Microsoft)
・ファイル暗号化パターン : .id-.[korvin0amber@cock.li].amber
・悪性ファイル生成場所 :
- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe
- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta
- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe
- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta
- C:Users%UserName%AppDataRoaming.exe
- C:Users%UserName%AppDataRoamingInfo.hta
- C:Users%UserName%DesktopRECOVERY FILES.txt
- C:UsersPublicDesktopRECOVERY FILES.txt
- C:WindowsSystem32.exe
- C:WindowsSystem32Info.hta
- <ドライブ文字>:RECOVERY FILES.txt
・決済案内ファイル : Info.hta / RECOVERY FILES.txt
・特徴 :
- オフライン暗号化 (Offline Encryption)
- Dharma / Phobos / Troldeshランサムウェア系
- 特定プロセス(1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exeなど)の実行遮断
- 特定サービス(mssqlserver, sqlserveradhelper, sqlwriterなど)の終了
- システムリカバリーの無力化(vssadmin delete shadows /all /quiet)