ブログ BLOG
動画
【Stop Ransomware (.lotep) 攻撃映像】
- 作成日時
- 2024-03-19
- 照会
- 633
・配布方式:未確認
・MD5 : 70f79f3c7458508fed10349a31910c37
・検知名 : Trojan-Ransom.Win32.Stop.az (Kaspersky), Trojan:Win32/Kryptik.S!MTB (Microsoft)
・ファイル暗号化パターン : .lotep
・悪性ファイル生成場所
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\5.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin1.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin2.exe
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Users\%UserName%\AppData\Local\Temp\MpCmdRun.log
- C:\Users\%UserName%\AppData\Local\script.ps1
- C:\Windows\System32\drivers\etc\hosts
- C:\Windows\System32\Tasks\Time Trigger Task
・決済案内ファイル : _readme.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- 偽りのWindows Updateポップアップ表示
- Windows Host 파일(C:\Windows\System32\drivers\etc\hosts)修正によりセキュリティ関連サイト接続遮断
- タスクマネージャー無力化(DisableTaskmgr)
- Windows Defender無力化(Set-MpPreference -DisableRealtimeMonitoring $true, "C:\Program Files\Windows Defender\mpcmdrun.exe" -removedefinitions -all)
- "Time Trigger Task"作業スケジューラー登録値により5分単位で"%LocalAppData%\----\.exe --Task"ランサムウェア再実行
- 情報奪取型「AZORult悪性コード」の追加インストール
・MD5 : 70f79f3c7458508fed10349a31910c37
・検知名 : Trojan-Ransom.Win32.Stop.az (Kaspersky), Trojan:Win32/Kryptik.S!MTB (Microsoft)
・ファイル暗号化パターン : .lotep
・悪性ファイル生成場所
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\----
- C:\Users\%UserName%\AppData\Local\----\5.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin1.exe
- C:\Users\%UserName%\AppData\Local\----\updatewin2.exe
- C:\Users\%UserName%\AppData\Local\----\.exe
- C:\Users\%UserName%\AppData\Local\Temp\MpCmdRun.log
- C:\Users\%UserName%\AppData\Local\script.ps1
- C:\Windows\System32\drivers\etc\hosts
- C:\Windows\System32\Tasks\Time Trigger Task
・決済案内ファイル : _readme.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- 偽りのWindows Updateポップアップ表示
- Windows Host 파일(C:\Windows\System32\drivers\etc\hosts)修正によりセキュリティ関連サイト接続遮断
- タスクマネージャー無力化(DisableTaskmgr)
- Windows Defender無力化(Set-MpPreference -DisableRealtimeMonitoring $true, "C:\Program Files\Windows Defender\mpcmdrun.exe" -removedefinitions -all)
- "Time Trigger Task"作業スケジューラー登録値により5分単位で"%LocalAppData%\----\.exe --Task"ランサムウェア再実行
- 情報奪取型「AZORult悪性コード」の追加インストール