製品情報 PRODUCTINFO
AppCheck
【Matrix Ransomware([FastBob@protonmail.com].{Random}-{Random}.FASTB) 攻撃映像】
- C:\Users\%UserName%\AppData\Roaming\.bat
- C:\Users\%UserName%\AppData\Roaming\.vbs
- C:\Windows\System32\Tasks\DSHCA
・決済案内ファイル : !README_FASTBOB!.rtf
・主な特徴
- オフライン暗号化(Offline Encryption)
- DSHCAタスクスケジューラーの登録値を使い5分毎に"%AppData%\.bat"ファイル実行によるシステム復元無力化(vssadmin Delete Shadows /All /Quiet, wmic SHADOWCOPY DELETE, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- デスクトップ画面(C:\Users\%UserName%\AppData\Roaming\.bmp)変更
- 照会
- 170
・配布方式 : 未確認
・MD5 : e126318fb144c3c23bf5d49ff8793d8b
・検知名:Win32/Parite (AhnLab V3), Win32.Trojan-Ransom.Matrix.A (GData)
・ファイル暗号化パターン:<原本ファイル名>.<原本ファイル名> → [FastBob@protonmail.com].-.FASTB
・悪性ファイル生成場所
・MD5 : e126318fb144c3c23bf5d49ff8793d8b
・検知名:Win32/Parite (AhnLab V3), Win32.Trojan-Ransom.Matrix.A (GData)
・ファイル暗号化パターン:<原本ファイル名>.<原本ファイル名> → [FastBob@protonmail.com].-.FASTB
・悪性ファイル生成場所
- C:\Users\%UserName%\AppData\Roaming\.bat
- C:\Users\%UserName%\AppData\Roaming\.vbs
- C:\Windows\System32\Tasks\DSHCA
・決済案内ファイル : !README_FASTBOB!.rtf
・主な特徴
- オフライン暗号化(Offline Encryption)
- DSHCAタスクスケジューラーの登録値を使い5分毎に"%AppData%\.bat"ファイル実行によるシステム復元無力化(vssadmin Delete Shadows /All /Quiet, wmic SHADOWCOPY DELETE, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- デスクトップ画面(C:\Users\%UserName%\AppData\Roaming\.bmp)変更
このようなランサムウェア攻撃に備える商品はこちら