製品情報 PRODUCTINFO
AppCheck
【Stop Ransomware(.berosuce) 攻撃映像】
- オフライン暗号化(Offline Encryption)
- 類似Windows Updateメッセージ表示
- Windows Hostファイル(C:\Windows\System32\drivers\etc\hosts)修正によるセキュリティ関連サイト接続遮断
- タスクマネージャー無力化(DisableTaskmgr)
- Windows Defender無力化(Set-MpPreference -DisableRealtimeMonitoring $true, "C:\Program Files\Windows Defender\mpcmdrun.exe" -removedefinitions -all)
- "Time Trigger Task"タスクスケジューラー登録値により、5分毎に"%LocalAppData%\----\.exe --Task"ランサムウェア再実行
- 情報奪取型AZORult悪性コード追加インストール
- 照会
- 102
・配布方式 : 未確認
・MD5 : d3a5c07b2607c2fb3d6ba6a1ba744304
・検知名:Trojan.Encoder.26996 (Dr.Web), W32/GenKryptik.DNNQ!tr (Fortinet)
・ファイル暗号化パターン : .berosuce
・悪性ファイル生成場所
・MD5 : d3a5c07b2607c2fb3d6ba6a1ba744304
・検知名:Trojan.Encoder.26996 (Dr.Web), W32/GenKryptik.DNNQ!tr (Fortinet)
・ファイル暗号化パターン : .berosuce
・悪性ファイル生成場所
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\5.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin1.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin2.exe
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Users\%UserName%\AppData\Local\Temp\MpCmdRun.log
- C:\Users\%UserName%\AppData\Local\script.ps1
- C:\Windows\System32\drivers\etc\hosts
- C:\Windows\System32\Tasks\Time Trigger Task
・身代金要求メッセージファイル : _readme.txt
・特徴について
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\5.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin1.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin2.exe
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Users\%UserName%\AppData\Local\Temp\MpCmdRun.log
- C:\Users\%UserName%\AppData\Local\script.ps1
- C:\Windows\System32\drivers\etc\hosts
- C:\Windows\System32\Tasks\Time Trigger Task
・身代金要求メッセージファイル : _readme.txt
・特徴について
- オフライン暗号化(Offline Encryption)
- 類似Windows Updateメッセージ表示
- Windows Hostファイル(C:\Windows\System32\drivers\etc\hosts)修正によるセキュリティ関連サイト接続遮断
- タスクマネージャー無力化(DisableTaskmgr)
- Windows Defender無力化(Set-MpPreference -DisableRealtimeMonitoring $true, "C:\Program Files\Windows Defender\mpcmdrun.exe" -removedefinitions -all)
- "Time Trigger Task"タスクスケジューラー登録値により、5分毎に"%LocalAppData%\----\.exe --Task"ランサムウェア再実行
- 情報奪取型AZORult悪性コード追加インストール