・配布方式：未確認

・MD5 : 6478ba983b659f00466da5dd61bf9768

・主な検知名：Ransomware/Win.TAIHENCHAN.C4534360 (AhnLab V3), W64/Donut.VF!tr.ransom (Fortinet)

・ファイル暗号化パターン：.docm

・決済案内ファイル：readmerecovery.txt

・主な特徴
– オフライン暗号化(OfflineEncryption)
– “MicrosoftWindows”デジタル署名を使用
– 作業管理者(Taskmgr.exe)の実行をブロック
– 特定プロセス(dnSpyx64.exe、joeboxcontrol.exe、pe-sieve64.exe、procexp32.exe、sysAnalyzer.exe、wireshark.exeなど)の実行をブロック
– イベントログ削除(wevtutil.execl”Analytic”,wevtutil.execl”DebugChannel”,wevtutil.execl”DirectShowFilterGraph”,wevtutil.execl”DirectShowPluginControl”,wevtutil.execl”Els_Hyphenation/Analytic”など)
– システム復元の無力化(wbadmindeletecatalog-quiet、wbadminDELETESYSTEMSTATEBACKUP-deleteOldest、wmicSHADOWCOPYdelete、vssadminDeleteShadows/all/quiet、bcdedit/set{default}bootstatuspolicyiganoreallfailureset,bulesset{decoverydeset} /maxsize=401MB、vssadminresizeshadowstorage/for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
– デスクトップ背景(C:\Windows\System32\spool\drivers\color\meme.jpg)変更

  このようなランサムウェア攻撃に備える商品はこちら