行く面積
メーンメニュー 行く
本文 行く

製品情報 PRODUCTINFO

AppCheck 【Thanos Ransomware (.[ID-{Random}].[black_private@tuta.io].CRYSTAL) 攻撃映像】
15392
 

・配布方式 : 遠隔デスクトッププロトコル(RemoteDesktopProtocol、RDP)およびターミナルサービスによる遠隔接続

 

MD5 : a94fb3e4bba2713722871d8d25c65611

 

・検知名 : MSIL/Thanos.A!tr.rsom(Fortinet)、Ransom.Hakbit(Malwarebytes)

 

ファイル暗号化パターン : .[ID-].[black_private@tuta.io].CRYSTAL

 

・悪性ファイル生成場所

- C:\Users\%UserName%\AppData\Local\Temp\RESTORE_FILES_INFO.txt

- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk

- C:\Users\%UserName%\Desktop\RESTORE_FILES_INFO.txt

 

・決済案内ファイル : RESTORE_FILES_INFO.txt

 


・特徴
- オフライン暗号化(OfflineEncryption)

- Prometheusランサムウェア系

- Raccineランサムウェア保護プログラムの無力化("taskill"/F/IMRaccineSettings.exe,"reg"delete"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/V"RaccineTray"/F,"reg"deleteHKCU\Software\Raccine/F,"schtasks"/DELETE/TN"RaccineRules"Updater"Updater"Up

- 特定プロセス(excel.)exe,firefoxconfig.exe,isqlplussvc.exe,mspub.exe,mydesktopservice.exe,thunderbird.exeなど)実行ブロック

- 特定サービス(avpsus、バックアップExecVSSProvider、BMRBootService、DefWatch、QBFCService、sophosなど)中止

- システム復元無力化("powershell.exe"&Get-WmiObjectWin32_Shadowcopy|ForEach-Object{$_Delete();})

- ゴミ箱空け("cmd.exe"/crd/s/q<ドライブ文字>\$Recycle.bin)

 

 

このようなランサムウェア攻撃に備える商品はこちら

 

次の投稿 前の投稿 リスト