製品情報 PRODUCTINFO
- 照会
- 15392
・配布方式 : 遠隔デスクトッププロトコル(RemoteDesktopProtocol、RDP)およびターミナルサービスによる遠隔接続
・MD5 : a94fb3e4bba2713722871d8d25c65611
・検知名 : MSIL/Thanos.A!tr.rsom(Fortinet)、Ransom.Hakbit(Malwarebytes)
・ファイル暗号化パターン : .[ID-].[black_private@tuta.io].CRYSTAL
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\RESTORE_FILES_INFO.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk
- C:\Users\%UserName%\Desktop\RESTORE_FILES_INFO.txt
・決済案内ファイル : RESTORE_FILES_INFO.txt
・特徴
- オフライン暗号化(OfflineEncryption)
- Prometheusランサムウェア系
- Raccineランサムウェア保護プログラムの無力化("taskill"/F/IMRaccineSettings.exe,"reg"delete"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/V"RaccineTray"/F,"reg"deleteHKCU\Software\Raccine/F,"schtasks"/DELETE/TN"RaccineRules"Updater"Updater"Up
- 特定プロセス(excel.)exe,firefoxconfig.exe,isqlplussvc.exe,mspub.exe,mydesktopservice.exe,thunderbird.exeなど)実行ブロック
- 特定サービス(avpsus、バックアップExecVSSProvider、BMRBootService、DefWatch、QBFCService、sophosなど)中止
- システム復元無力化("powershell.exe"&Get-WmiObjectWin32_Shadowcopy|ForEach-Object{$_Delete();})
- ゴミ箱空け("cmd.exe"/crd/s/q<ドライブ文字>\$Recycle.bin)
このようなランサムウェア攻撃に備える商品はこちら