・配布方式 : 未確認

・MD5 : 612d929fe93ce6523a59c0f2824f8259

・検知名 : 

 Trojan/Win32.Crysis.R213980 (AhnLab V3), Trojan.Ransom.Crysis.E (BitDefender)

・悪性ファイル生成場所 :

 – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.exe

 – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

 – C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe

 – C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

 – C:\Users\%UserName%\AppData\Roaming\.exe

 – C:\Users\%UserName%\AppData\Roaming\Info.hta

 – C:\Users\%UserName%\Desktop\FILES ENCRYPTED.txt

 – C:\Users\Public\Desktop\FILES ENCRYPTED.txt

 – C:\Windows\System32\.exe

 – C:\Windows\System32\Info.hta

 – <ドライブ名>:\FILES ENCRYPTED.txt

・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta

・特徴 : 
 – オフライン暗号化 (Offline Encryption)

 – Dharma / Phobos / Troldesh ランサムウェア類

 – 特定プロセス (1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe) 実行遮断

 – 特定サービス (mssqlserver, sqlserveradhelper, sqlwriter など)中止
 – システム復元無力化 (vssadmin delete shadows /all /quiet など)