・配布方式：未確認

・MD5 : cdccf5b587aac1a4aeb53f8aaa465759

・検知名：Gen:Variant.Ransom.LegionLocker.1 (BitDefender), A variant of Win32/Packed.Themida.HTV (ESET)

・ファイル暗号化パターン：.LGNLCKD

・悪性ファイル生成場所
– C:\Users\%UserName%\AppData\Local\Temp\WTHBNZD.bat

・決済案内ファイル：LegionReadMe.txt

・主な特徴

– オフライン暗号化(Offline Encryption)
– レジストリエディタ(regedit) / コマンドプロンプト(cmd.exe) / タスクマネージャー(Taskmgr)実行遮断
– Webブラウザ(chrome, firefox, iexplore, opera)の実行をブロック
– 特定プロセス(photorec_win.exe, qphotorec_win.exe, rannohdecryptor.exe, recuva.exe, sdclt.exe)実行遮断
– システム復元無力化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB、versadmin resize shadowstorage /for=<ドライブ文字>:/on=<ドライブ文字>:/maxsize=unbounded)
– バックアップファイル(*.bac,*.bak,*.bkf,*.dsk,*.set,*.VHD,*。wbcat, *.win, Backup*.*, backup*.*)削除

  このようなランサムウェア攻撃に備える商品はこちら