・配布方式 : 未確認

・MD5 : 0cbe2007f4f89d7b78b83e92bcc7355d

・検知名 : Win32/Filecoder.Zeoticus.A  (ESET), Ransom:Win32/Zeoticus!MSR (Microsoft)

・ファイル暗号化パターン : .zeoticus@tutanota.com.zeoticus

・悪性ファイル生成場所

– C:Windows<Random>.exe

・決済案内ファイル : READ_ME.html

・特徴
– オフライン暗号化 (Offline Encryption)

– Majorランサムウェア系

– 特定プロセス(agntsvc.exe,msftesql.exe,oracle.exe,sqlagent.exe,sqlbrowser.exe,xfssvccon.exeなど)の実行遮断

– データ実行防止(DEP)機能無効化(bcdedit.exe/set{current}nxAlwaysOff)

– システム復元無力化(wbadmindeletecatalog-quiet,vssadmin.exedeleteshadows/all/quiet,wmicSHADOWCOPYDELETE)

– デスクトップ背景(C:Users%UserName%AppDataLocalTemp|7108450.jpg)変更