製品情報 PRODUCTINFO
- 照会
- 23004
・CrySisランサムウェアとは : クライシスは、「ファイルコーダー」(Filecoder)ファミリーに属する不正プログラムで、
その名の通り、情報を暗号化し、その復元の見返りに身代金の支払いを要求することを目的としている。
・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta
・悪性ファイル生成場所
– C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.exe
– C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
– C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe
– C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
– C:\Users\%UserName%\AppData\Roaming\.exe
– C:\Users\%UserName%\AppData\Roaming\Info.hta
– C:\Users\%UserName%\Desktop\FILES ENCRYPTED.txt
– C:\Users\Public\Desktop\FILES ENCRYPTED.txt
– C:\Windows\System32\.exe
– C:\Windows\System32\Info.hta
– <ドライブ文字>:\FILES ENCRYPTED.txt
特徴 :
– オフライン暗号化(Offline Encryption)
– Dharma / Phobos ランサムウェア系列
– 特定プロセス(1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe など) 実行遮断
– 特定サービス(mssqlserver, sqlserveradhelper, sqlwriter など)終了
– システム復元遮断(vssadmin delete shadows /all /quiet)