製品情報 PRODUCTINFO
AppCheck
【GlobeImposter Ransomware (.restore@goat.si) 攻撃映像】
・配布方式:リモートデスクトッププロトコル(Remote Desktop Protocol, RDP)及びターミナルサービスによる遠隔
・MD5 : 08f8547af6ea4a8e240e9fdcfe4425c4
・ファイル暗号化パターン : .restore@goat.si
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe
・決済案内ファイル : how_to_back_files.html
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- システム復元無効化(vssadmin.exe Delete Shadows /All /Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
- 照会
- 1752
・配布方式:リモートデスクトッププロトコル(Remote Desktop Protocol, RDP)及びターミナルサービスによる遠隔
・MD5 : 08f8547af6ea4a8e240e9fdcfe4425c4
・ファイル暗号化パターン : .restore@goat.si
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Local\Temp\tmp.tmp.bat
- C:\Users\%UserName%\AppData\Local\.exe
・決済案内ファイル : how_to_back_files.html
・主な特徴
- オフライン暗号化(Offline Encryption)
- Fake Globe / PSCryptランサムウェア系
- システム復元無効化(vssadmin.exe Delete Shadows /All /Quiet)
- ターミナルサーバクライアントレジストリ初期化(reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f, reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f, reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers")
このようなランサムウェア攻撃に備える商品はこちら