製品情報 PRODUCTINFO
AppCheck
【MedusaLocker Ransomware(.lockhyp)の暗号化攻撃に対し、AppCheckが検知・遮断・復元を行う映像】
- 照会
- 80
・配布方式 : 未確認
・MD5 : f8a9d3f458a7ab3af54cde87d2b0b4f6
・主な検知名 : Ransomware/Win.MedusaLocker.R335910 (AhnLab V3), Generic.Ransom.MedusaLocker.5C3CF31C (BitDefender)
・ファイル暗号化パターン : .lockhyp
・悪性ファイル生成パス
- C:\Users\%UserName%\AppData\Roaming\svhost.exe
- C:\Windows\System32\Tasks\svhost
・身代金要求メッセージファイル : HOW_TO_RECOVER_DATA.html
・特徴について
- オフライン暗号化(Offline Encryption)
- EFIシステムパーティション(X:\) + 復旧/システム予約パーティション(Y:\)ドライブ活性化及び内部ファイル暗号化
- ユーザアカウントコントロール(UAC)通知機能OFF
- 特定プロセス(fdlauncher.exe, QBIDPService.exe, RAgui.exe, sqlbrowser.exe, supervise.exe, tomcat6.exeなど)実行遮断
- 特定サービス(ccSetMgr, Culserver, DefWatch, SQLADHLP, sqlagent, vmware-usbarbitator64など)中止
- システム復元無効化(vssadmin.exe Delete Shadows /All /Quiet, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP, wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest, wmic.exe SHADOWCOPY /nointeractive)
- svhostタスクスケジューラー登録値により、15分単位で"%AppData%\svhost.exe"ランサムウェアファイル自動実行
・MD5 : f8a9d3f458a7ab3af54cde87d2b0b4f6
・主な検知名 : Ransomware/Win.MedusaLocker.R335910 (AhnLab V3), Generic.Ransom.MedusaLocker.5C3CF31C (BitDefender)
・ファイル暗号化パターン : .lockhyp
・悪性ファイル生成パス
- C:\Users\%UserName%\AppData\Roaming\svhost.exe
- C:\Windows\System32\Tasks\svhost
・身代金要求メッセージファイル : HOW_TO_RECOVER_DATA.html
・特徴について
- オフライン暗号化(Offline Encryption)
- EFIシステムパーティション(X:\) + 復旧/システム予約パーティション(Y:\)ドライブ活性化及び内部ファイル暗号化
- ユーザアカウントコントロール(UAC)通知機能OFF
- 特定プロセス(fdlauncher.exe, QBIDPService.exe, RAgui.exe, sqlbrowser.exe, supervise.exe, tomcat6.exeなど)実行遮断
- 特定サービス(ccSetMgr, Culserver, DefWatch, SQLADHLP, sqlagent, vmware-usbarbitator64など)中止
- システム復元無効化(vssadmin.exe Delete Shadows /All /Quiet, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP, wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest, wmic.exe SHADOWCOPY /nointeractive)
- svhostタスクスケジューラー登録値により、15分単位で"%AppData%\svhost.exe"ランサムウェアファイル自動実行