・配布方式 : 未確認

・MD5 : 099620a420b495280a671ac400991dbf

・検知名 : HEUR:Trojan-Ransom.Win32.Stop.gen (Kaspersky), Ransom_Stop.R002C0DFK21 (Trend Micro)

・ファイル暗号化パターン : .iqll

・悪性ファイル生成場所

  – C:\SystemID

  – C:\SystemID\PersonalID.txt

  – C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>

  – C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\5.exe

  – C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\<Random>.exe

  – C:\Users\%UserName%\AppData\Local\bowsakkdestx.txt

  – C:\Windows\System32\Tasks\Time Trigger Task

・決済案内ファイル : _readme.txt

・特徴

  – オフライン暗号化 (Offline Encryption)

  – 「TimeTriggerTask」作業スケジューラー登録値を通じ、5分単位で”%LocalAppData%\<Random>-<Random>-<Random>-<Random>\<Random>.exe–Task”ランサムウェアを再実行

  – 情報奪取型AZORult悪性コードの追加インストール