映像
様々なランサムウェアに対応するAppCheckの事前防御、自動復旧およびリアルタイムバックアップ機能を映像でご確認いただけます。
- 配布方式 : 未確認
- MD5 : c46de9b5e3ffbf3e7e990d821a01c794
- 主な検出名 : Trojan.Ransom.Stop (ALYac), Win32/Filecoder.STOP.A (ESET)
- ファイル暗号化パターン : .bopador
- 悪性ファイルの生成場所 :
- C:\SystemID
- C:\SystemID\PersonalID.txt
- C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>
- C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\updatewin.exe
- C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\updatewin1.exe
- C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\updatewin2.exe
- C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\<Random>.exe
- C:\Users\%UserName%\AppData\Local\Temp\MpCmdRun.log
- C:\Users\%UserName%\AppData\Local\script.ps1
- C:\Windows\System32\drivers\etc\hosts
- C:\Windows\System32\Tasks\Time Trigger Task
- メッセージファイル : _readme.txt
- 主な特徴 :
- オフライン暗号化(Offline Encryption)
- 偽のWindows Updateメッセージ画面を表示
- Windowsのhostsファイル(C:\Windows\System32\drivers\etc\hosts) を改ざんし、セキュリティ関連サイトへのアクセスを遮断
- タスクマネージャーの無効化(DisableTaskmgr)
- Windows Defenderの無効化(Set-MpPreference -DisableRealtimeMonitoring $true, "C:\Program Files\Windows Defender\mpcmdrun.exe" -removedefinitions -all)
- "Time Trigger Task" タスクスケジューラの登録値を利用し、5分ごとにランサムウェアファイル"%LocalAppData%\<Random>-<Random>-<Random>-<Random>-<Random>\<Random>.exe --Task"を再実行