・配布方式 : 未確認

・MD5 : 1c9ad3edb91b64c609dea3cc3db8a5c9

・検知名 : HEUR:Trojan-Ransom.Win32.Stop.gen (Kaspersky), Ransom:Win32/LockBit (Microsoft)

・ファイル暗号化パターン : .neer

・悪性ファイル生成場所

– C:\SystemID

– C:\SystemID\PersonalID.txt

– C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>

– C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\build2.exe

– C:\Users\%UserName%\AppData\Local\<Random>-<Random>-<Random>-<Random>-<Random>\<Random>.exe

– C:\Users\%UserName%\AppData\Local\bowsakkdestx.txt

– C:\Windows\System32\Tasks\Time Trigger Task

・決済案内ファイル : _readme.txt

・特徴
– オフライン暗号化 (Offline Encryption)

– 「TimeTriggerTask」作業スケジューラ登録値により、5分単位で「%LocalAppData%\<Random>-<Random>-<Random>-<Random>\<Random>.exe–Task」ランサムウェア再実行

– 情報窃取型AZORult悪性コードの追加インストール