・配布方式：未確認

・MD5 : c0202cf6aeab8437c638533d14563d35

・検知名 : Trojan.Ransom.Ryuk.A (BitDefender), Trojan-Ransom.Win32.Hermez.bn (Kaspersky)

・ファイル暗号化パターン : <原本ファイル名>.<原本拡張子名>

・悪性ファイル生成場所

– C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\RyukReadMe.txt
– C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RyukReadMe.txt
– C:\Users\Public\PUBLIC
– C:\Users\Public\sys
– C:\Users\Public\UNIQUE_ID_DO_NOT_REMOVE
– C:\Users\Public\window.bat

・決済案内ファイル :RyukReadMe.txt

・主な特徴

– オフライン暗号化(Offline Encryption)
– Hermesランサムウェア系
– 実行中の様々なプロセスに、コードインジェクションによるファイル暗号化
– 特定プロセス(agntsvc.exe, dbeng50.exe, excel.exe, msftesql.exe, mydesktopqos.exe, zoolz.exeなど)実行遮断
– 特定サービス(Acronis VSS Provider, Enterprise Client Service, Sophos Agent, SQLsafe Backup Service, Symantec System Recovery, Veeam Backup Catalog Data Serviceなど)中止
– システム復元無効化(vssadmin Delete Shadows /all /quiet, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=401MB, vssadmin resize shadowstorage /for=<ドライブ文字>: /on=<ドライブ文字>: /maxsize=unbounded)
– バックアップファイル(<ドライブ文字>:\*.bac, <ドライブ文字>:\*.bak, <ドライブ文字>:\*.bkf, <ドライブ文字>:\*.dsk, <ドライブ文字>:\*.set, <ドライブ文字>:\*.VHD, <ドライブ文字>:\*.wbcat, <ドライブ文字>:\*.win, <ドライブ文字>:\Backup*.*, <ドライブ文字>:\backup*.*)削除

  このようなランサムウェア攻撃に備える商品はこちら