・配布方式 : リモートデスクトッププロトコル(RemoteDesktopProtocol,RDP)およびターミナルサービスによるリモート接続

・MD5 : 2b7768ae4968fe23be3d205f0644365e

・検知名 : Win32/Neshta  (AhnLab V3), Virus:Win32/Neshta.A (Microsoft)

・ファイル暗号化パターン : .id[-2930].[reopening1999@tutanota.com].eking

・悪性ファイル生成場所

– C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

– C:Users%UserName%AppDataLocalTemp82-490

– C:Users%UserName%AppDataLocalTemp82-490.exe

– C:Users%UserName%AppDataLocal.exe

– C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

– C:Users%UserName%Desktopinfo.hta

– C:Users%UserName%Desktopinfo.txt

– C:UsersPublicDesktopinfo.hta

– C:UsersPublicDesktopinfo.txt

– <ドライブ文字>:info.hta

– <ドライブ文字>:info.txt

・決済案内ファイル : info.hta / info.txt

・特徴
– オフライン暗号化 (Offline Encryption)

– CrySis/Troldeshランサムウェア系

– Windowsファイアウォール無力化(netshadvfirewallsetcurrentprofilestateoff,netshfirewallsetopmodemode=disable)

– 特定プロセス(isqlplussvc.exe,oracle.exe,sqlagent.exe,sqlbrowser.exe,sqlservr.exe,sqlwriter.exeなど)の実行遮断

– システム復元無力化(vssadmindeleteshadows/all/quiet,wmicshadowcopydelete,bcdedit/set{default}bootstatuspolicyignoreallfailures,bcdedit/set{default}recoveryenabledno,wbadmindeletecatalog-quiet)