・配布方式 : 未確認

・MD5 : 0d6c9c16236408cf0f45316b0cee0b25

・検知名 : 

 .<原本拡張子>__{babyfromparadise666@gmail.com}.p3rf0rm4

・悪性ファイル生成場所:

 – C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe
 – C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.hta

・決済案内ファイル : .hta / Instructions with your files.txt

・特徴 :
 – オフライン暗号化 (Offline Encryption) – Windows Defender 無力化(DisableAntiSpyware)
 – 特定プロセス (bes10, black, mysql, postg, sage, store.exe) 実行遮断
 – 特定サービス (MSExchangeFBA, MSSQL$ISARS, MSSQL$MSFW, MSSQLServerADHelper100, SQLBrowser, WinDefend など)中止
 – システム復元無力化