製品情報 PRODUCTINFO
AppCheck
【Ouroboros Ransomware[.Email=[Legion.developers72@gmail.com]ID=[{※}].Angus] 攻撃映像】
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\HowToDecrypt.txt
- C:\ProgramData\info.txt
- C:\ProgramData\uiapp.exe
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HowToDecrypt.txt
・身代金要求案内ファイル : HowToDecrypt.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Zeropadyptランサムウェア系
- 特定プロセス(msftesql.exe, mysqld.exe, mysqld-opt.exe, sqlagent.exe, sqlbrowser.exe, sqlserver.exeなど)実行遮断
- 特定サービス(MSDTC, MySQL, MSSQL$CONTOSO1, MSSQLSERVER, SQLBrowser, SQLWriterなど)中止
- システム復元無効化(vssadmin delete shadows /all)
- 照会
- 118
・配布方式 : 未確認
・MD5 : e2178608426ae1b93f31e689d459c3a5
・検知名 : Generic.Ransom.Ouroboros.44DF2691 (BitDefender), Ransom:Win32/Ouroboros.GG!MTB (Microsoft)
・ファイル暗号化パターン : .Email=[Legion.developers72@gmail.com]ID=[].Angus
・悪性ファイル生成場所
・MD5 : e2178608426ae1b93f31e689d459c3a5
・検知名 : Generic.Ransom.Ouroboros.44DF2691 (BitDefender), Ransom:Win32/Ouroboros.GG!MTB (Microsoft)
・ファイル暗号化パターン : .Email=[Legion.developers72@gmail.com]ID=[].Angus
・悪性ファイル生成場所
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\HowToDecrypt.txt
- C:\ProgramData\info.txt
- C:\ProgramData\uiapp.exe
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HowToDecrypt.txt
・身代金要求案内ファイル : HowToDecrypt.txt
・主な特徴
- オフライン暗号化(Offline Encryption)
- Zeropadyptランサムウェア系
- 特定プロセス(msftesql.exe, mysqld.exe, mysqld-opt.exe, sqlagent.exe, sqlbrowser.exe, sqlserver.exeなど)実行遮断
- 特定サービス(MSDTC, MySQL, MSSQL$CONTOSO1, MSSQLSERVER, SQLBrowser, SQLWriterなど)中止
- システム復元無効化(vssadmin delete shadows /all)
このようなランサムウェア攻撃に備える商品はこちら