映像
様々なランサムウェアに対応するAppCheckの事前防御、自動復旧およびリアルタイムバックアップ機能を映像でご確認いただけます。
- 配布方式 : 未確認
- MD5 : 95eb004d05b5560426f75126bdd77649
- 主な検出名 : Ransomware/Win.Underground.R590489 (AhnLab V3), Ransom:Win64/IndustrialSpy.A (Microsoft)
- ファイル暗号化パターン : <元のファイル名>.<元の拡張子>
- メッセージファイル : !!readme!!!.txt
- 主な特徴 :
- オフライン暗号化(Offline Encryption)
- Industrial Spy 系列のランサムウェア
- Stop MSSQLSERVER service.
- システム復元の無効化(vssadmin.exe delete shadows /all /quiet)
- Add a registry value to configure the Remote Desktop session keep-alive duration. ("C:\Windows\System32\reg.exe" add HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / v MaxDisconnectionTime / t REG_DWORD / d 1209600000 / f)
- Deletes event log. (wevtutil.exe cl "AMSI/Debug", wevtutil.exe cl "AirSpaceChannel", wevtutil.exe cl "Application", wevtutil.exe cl "EndpointMapper", wevtutil.exe cl "ForwardedEvents", wevtutil.exe cl "HardwareEvents" etc.)