製品情報 PRODUCTINFO
- 照会
- 16935
・配布方式 : リモートデスクトッププロトコル(RemoteDesktopProtocol,RDP)およびターミナルサービスによるリモート接続
・MD5 : 2b7768ae4968fe23be3d205f0644365e
・検知名 : Win32/Neshta (AhnLab V3), Virus:Win32/Neshta.A (Microsoft)
・ファイル暗号化パターン : .id[-2930].[reopening1999@tutanota.com].eking
・悪性ファイル生成場所
- C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe
- C:Users%UserName%AppDataLocalTemp82-490
- C:Users%UserName%AppDataLocalTemp82-490.exe
- C:Users%UserName%AppDataLocal.exe
- C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe
- C:Users%UserName%Desktopinfo.hta
- C:Users%UserName%Desktopinfo.txt
- C:UsersPublicDesktopinfo.hta
- C:UsersPublicDesktopinfo.txt
- <ドライブ文字>:info.hta
- <ドライブ文字>:info.txt
・決済案内ファイル : info.hta / info.txt
・特徴
- オフライン暗号化 (Offline Encryption)
- CrySis/Troldeshランサムウェア系
- Windowsファイアウォール無力化(netshadvfirewallsetcurrentprofilestateoff,netshfirewallsetopmodemode=disable)
- 特定プロセス(isqlplussvc.exe,oracle.exe,sqlagent.exe,sqlbrowser.exe,sqlservr.exe,sqlwriter.exeなど)の実行遮断
- システム復元無力化(vssadmindeleteshadows/all/quiet,wmicshadowcopydelete,bcdedit/set{default}bootstatuspolicyignoreallfailures,bcdedit/set{default}recoveryenabledno,wbadmindeletecatalog-quiet)