製品情報 PRODUCTINFO
AppCheck
【Ryuk Ransomware ({Filename}.{Ext.} / RyukReadMe.txt / Ver. Gentlemen) 攻撃映像】
- 照会
- 1022
・配布方式:未確認
・MD5 : c0202cf6aeab8437c638533d14563d35
・検知名 : Trojan.Ransom.Ryuk.A (BitDefender), Trojan-Ransom.Win32.Hermez.bn (Kaspersky)
・ファイル暗号化パターン : <原本ファイル名>.<原本拡張子名>
・悪性ファイル生成場所
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\RyukReadMe.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt
- C:\Users\Public\PUBLIC
- C:\Users\Public\sys
- C:\Users\Public\UNIQUE_ID_DO_NOT_REMOVE
- C:\Users\Public\window.bat
・決済案内ファイル :RyukReadMe.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Hermesランサムウェア系
- 実行中の様々なプロセスに、コードインジェクションによるファイル暗号化
- 特定プロセス(agntsvc.exe, dbeng50.exe, excel.exe, msftesql.exe, mydesktopqos.exe, zoolz.exeなど)実行遮断
- 特定サービス(Acronis VSS Provider, Enterprise Client Service, Sophos Agent, SQLsafe Backup Service, Symantec System Recovery, Veeam Backup Catalog Data Serviceなど)中止
- システム復元無効化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=unbounded)
- バックアップファイル(<ドライブ文字>:\*.bac, <ドライブ文字>:\*.bak, <ドライブ文字>:\*.bkf, <ドライブ文字>:\*.dsk, <ドライブ文字>:\*.set, <ドライブ文字>:\*.VHD, <ドライブ文字>:\*.wbcat, <ドライブ文字>:\*.win, <ドライブ文字>:\Backup*.*, <ドライブ文字>:\backup*.*)削除
・MD5 : c0202cf6aeab8437c638533d14563d35
・検知名 : Trojan.Ransom.Ryuk.A (BitDefender), Trojan-Ransom.Win32.Hermez.bn (Kaspersky)
・ファイル暗号化パターン : <原本ファイル名>.<原本拡張子名>
・悪性ファイル生成場所
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\RyukReadMe.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt
- C:\Users\Public\PUBLIC
- C:\Users\Public\sys
- C:\Users\Public\UNIQUE_ID_DO_NOT_REMOVE
- C:\Users\Public\window.bat
・決済案内ファイル :RyukReadMe.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Hermesランサムウェア系
- 実行中の様々なプロセスに、コードインジェクションによるファイル暗号化
- 特定プロセス(agntsvc.exe, dbeng50.exe, excel.exe, msftesql.exe, mydesktopqos.exe, zoolz.exeなど)実行遮断
- 特定サービス(Acronis VSS Provider, Enterprise Client Service, Sophos Agent, SQLsafe Backup Service, Symantec System Recovery, Veeam Backup Catalog Data Serviceなど)中止
- システム復元無効化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=unbounded)
- バックアップファイル(<ドライブ文字>:\*.bac, <ドライブ文字>:\*.bak, <ドライブ文字>:\*.bkf, <ドライブ文字>:\*.dsk, <ドライブ文字>:\*.set, <ドライブ文字>:\*.VHD, <ドライブ文字>:\*.wbcat, <ドライブ文字>:\*.win, <ドライブ文字>:\Backup*.*, <ドライブ文字>:\backup*.*)削除
このようなランサムウェア攻撃に備える商品はこちら