製品情報 PRODUCTINFO
AppCheck
【Matrix Ransomware(.KOK08) 攻撃映像】
- 照会
- 1301
・配布方式:未確認
・MD5 : de735aece4a40f2cd24b21e709885aaa
・検知名 : Generic.Ransom.Matrix.07F33115 (BitDefender), Ransom-Matrix!DE735AECE4A4 (McAfee)
・ファイル暗号化パターン : <原本ファイル名>.<原本拡張子名> → [KOK08@qq.com].<Random>-<Random>.KOK08
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Roaming\<Random>.bat
- C:\Users\%UserName%\AppData\Roaming\<Random>.vbs
- C:\Windows\System32\Tasks\DSHCA
・決済案内ファイル : #KOK08_README#.rtf
・主な特徴
- オフライン暗号化(Offline Encryption)
- DSHCA作業スケジューラー登録値により5分毎に"%AppData%\<Random>.bat"ファイルを実行、システム復元を無力化(vssadmin Delete Shadows /All /Quiet, wmic SHADOWCOPY DELETE, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- デスクトップ画面(C:\Users\%UserName%\AppData\Roaming\<Random>.bmp)変更
・MD5 : de735aece4a40f2cd24b21e709885aaa
・検知名 : Generic.Ransom.Matrix.07F33115 (BitDefender), Ransom-Matrix!DE735AECE4A4 (McAfee)
・ファイル暗号化パターン : <原本ファイル名>.<原本拡張子名> → [KOK08@qq.com].<Random>-<Random>.KOK08
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Roaming\<Random>.bat
- C:\Users\%UserName%\AppData\Roaming\<Random>.vbs
- C:\Windows\System32\Tasks\DSHCA
・決済案内ファイル : #KOK08_README#.rtf
・主な特徴
- オフライン暗号化(Offline Encryption)
- DSHCA作業スケジューラー登録値により5分毎に"%AppData%\<Random>.bat"ファイルを実行、システム復元を無力化(vssadmin Delete Shadows /All /Quiet, wmic SHADOWCOPY DELETE, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- デスクトップ画面(C:\Users\%UserName%\AppData\Roaming\<Random>.bmp)変更