・配布方式：リモートデスクトッププロトコル(Remote Desktop Protocol, RDP)及びターミナルサービスによる遠隔接続

・MD5 : 9fefd06a1fe27be9f934865761c00fa7

・ファイル暗号化パターン : .[ID-].[zazazaka@tuta.io].HELPME

・悪性ファイル生成場所

- C:\Users\%UserName%\AppData\Local\Temp\decrypt_info.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\reload1.lnk

・決済案内ファイル : decrypt_info.txt

・主な特徴

- オフライン暗号化(Offline Encryption)
- Prometheusランサムウェア系
- Windowsファイアウォールルール許容("netsh" advfirewall firewall set rule group=\"File and Printer Sharing\" new enable=Yes, "netsh" advfirewall firewall set rule group=\"Network Discovery\" new enable=Yes)
- Raccineランサムウェア保護プログラム無力化("taskkill" /F /IM RaccineSettings.exe, "reg" delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "Raccine Tray" /F, "reg" delete HKCU\Software\Raccine /F, "schtasks" /DELETE /TN "Raccine Rules Updater" /F)
- 特定プロセス(mydesktopqos.exe, outlook.exe, sqlagent.exe, steam.exe, thebat64.exe, xfssvccon.exeなど)実行遮断
- 特定サービス(MSExchangeMGMT, POP3Svc, ReportServer$SQL_2008, SMTPSvc, SstpSvc, UI0Detectなど)中止
- 特定サービス(sc.exe config FDResPub start= auto, sc.exe config SQLTELEMETRY start= disabled, sc.exe config SQLTELEMETRY$ECWDB2 start= disabled, sc.exe config SQLWriter start= disabled, sc.exe config SSDPSRV start= auto, sc.exe config upnphost start= autoなど)設定変更
- システム復元無力化("powershell.exe" & Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); })
- ゴミ箱を空にする("cmd.exe" /c rd /s /q <ドライブ文字>\\$Recycle.bin)