・配布方式：未確認

・MD5 : f9e4a20f4929036d88515d002e30afa5

・検知名 : Generic.Ransom.MedusaLocker.5C3CF31C (BitDefender), Ransom:Win32/MedusaLocker.A!MTB (Microsoft)

・ファイル暗号化パターン : .farlock3

・悪性ファイル生成場所
– C:\Users\%UserName%\AppData\Roaming\svhost.exe
– C:\Windows\System32\Tasks\svhost

・決済案内ファイル : HOW_TO_RECOVER_DATA.html

・主な特徴
– オフライン暗号化(Offline Encryption)
– EFIシステムパーティション(X:\) + 復元/システム予約パーティション(Y:\)ドライブアクティベーション及び内部ファイル暗号化
– ユーザアカウントコントロール(UAC)通知機能ディアクティベーション
– 特定プロセス(360doctor.exe, Culture.exe, MsDtSrvr.exe, RTVscan.exe, sqlservr.exe, tomcat6.exeなど)実行遮断
– 特定サービス(ccSetMgr, Culserver, DefWatch, SQLADHLP, sqlagent, vmware-usbarbitator64など)中止
– システム復元無効化(vssadmin.exe Delete Shadows /All /Quiet, bcdedit.exe /set {default} recoveryenabled No, bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures, wbadmin DELETE SYSTEMSTATEBACKUP, wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest, wmic.exe SHADOWCOPY /nointeractive)
– svhost作業スケジューラー登録値により15分単位で”%AppData%\svhost.exe”ランサムウェアファイル自動実行

  このようなランサムウェア攻撃に備える商品はこちら