・配布方式 : 未確認

・MD5 : 4871028c19f28016dd2517742cad8400

・検知名 : Trojan/Win32.Crysis.R213980  (AhnLab V3), Ransom:Win32/Wadhrama (Microsoft)

・ファイル暗号化パターン : .id-.[korvin0amber@cock.li].amber

・悪性ファイル生成場所 :

 – C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

 – C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta

 – C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

 – C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta

 – C:Users%UserName%AppDataRoaming.exe

 – C:Users%UserName%AppDataRoamingInfo.hta

 – C:Users%UserName%DesktopRECOVERY FILES.txt

 – C:UsersPublicDesktopRECOVERY FILES.txt

 – C:WindowsSystem32.exe

 – C:WindowsSystem32Info.hta

 – <ドライブ文字>:RECOVERY FILES.txt

・決済案内ファイル : Info.hta / RECOVERY FILES.txt

・特徴 :
 – オフライン暗号化 (Offline Encryption)

 – Dharma / Phobos / Troldeshランサムウェア系

 – 特定プロセス(1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exeなど)の実行遮断

 – 特定サービス(mssqlserver, sqlserveradhelper, sqlwriterなど)の終了

 – システムリカバリーの無力化(vssadmin delete shadows /all /quiet)