・配布方式：未確認

・MD5 : 70f79f3c7458508fed10349a31910c37

・検知名 : Trojan-Ransom.Win32.Stop.az (Kaspersky), Trojan:Win32/Kryptik.S!MTB (Microsoft)

・ファイル暗号化パターン : .lotep

・悪性ファイル生成場所
– C:\SystemID
– C:\SystemID\PersonalID.txt
– C:\Users\%UserName%\AppData\Local\—-
– C:\Users\%UserName%\AppData\Local\—-\5.exe
– C:\Users\%UserName%\AppData\Local\—-\updatewin.exe
– C:\Users\%UserName%\AppData\Local\—-\updatewin1.exe
– C:\Users\%UserName%\AppData\Local\—-\updatewin2.exe
– C:\Users\%UserName%\AppData\Local\—-\.exe
– C:\Users\%UserName%\AppData\Local\Temp\MpCmdRun.log
– C:\Users\%UserName%\AppData\Local\script.ps1
– C:\Windows\System32\drivers\etc\hosts
– C:\Windows\System32\Tasks\Time Trigger Task

・決済案内ファイル : _readme.txt

・主な特徴
– オフライン暗号化(Offline Encryption)
– 偽りのWindows Updateポップアップ表示
– Windows Host 파일(C:\Windows\System32\drivers\etc\hosts)修正によりセキュリティ関連サイト接続遮断
– タスクマネージャー無力化(DisableTaskmgr)
– Windows Defender無力化(Set-MpPreference -DisableRealtimeMonitoring $true, “C:\Program Files\Windows Defender\mpcmdrun.exe” -removedefinitions -all)
– “Time Trigger Task”作業スケジューラー登録値により5分単位で”%LocalAppData%\—-\.exe –Task”ランサムウェア再実行
– 情報奪取型「AZORult悪性コード」の追加インストール

  このようなランサムウェア攻撃に備える商品はこちら