・配布方式 : KaseyaVSA製品の権限上昇の脆弱性

・MD5 : 561cffbaba71a6e8cc1cdceda990ead4

・検知名 : Ransomware/Win.Sodinokibi.C4540962 (AhnLab V3), TR/AD.SodinoRansom.xacle (Avira)

・ファイル暗号化パターン : .<5~10桁のRandom拡張子名>

・悪性ファイル生成場所

– C:Windowsmpsvc.dll

– C:WindowsMsMpEng.exe

・決済案内ファイル : <暗号化拡張子名>-readme.txt

・特徴
– オフライン暗号化(OfflineEncryption)

– AnteFrigus/GandCrabランサムウェア系

– 「PB03TRANSPORTLTD.」デジタル署名使用

– Windowsファイアウォールのルール許容(NetworkDiscovery)

– システム復元の無力化

– デスクトップ背景(C:Users%UserName%AppDataLocalTemp.bmp)を変更