・配布方式 : 未確認

・MD5 : 0913c7b8c884865649b70c3241bf27cd

・検知名 : W32/Crysis.W!tr.ransom  (Fortinet), Ransom.Crysis.Generic (Malwarebytes)

・ファイル暗号化パターン : .id-.[undogdianact1986@aol.com].frend

・悪性ファイル生成場所

– C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupInfo.hta

– C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup.exe

– C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupInfo.hta

– C:Users%UserName%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.exe

– C:Users%UserName%AppDataRoamingInfo.hta

– C:Users%UserName%AppDataRoaming.exe

– C:WindowsSystem32Info.hta

– C:WindowsSystem32.exe

– C:Users%UserName%DesktopFILES ENCRYPTED.txt

– C:UsersPublicDesktopFILES ENCRYPTED.txt

– <ドライブ名>:FILES ENCRYPTED.txt

・決済案内ファイル : FILES ENCRYPTED.txt / Info.hta

・特徴
– オフライン暗号化 (Offline Encryption)

– Dharma / Phobos / Troldesh ランサムウェア類

– 特定プロセス (1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe) 実行遮断

– 特定サービス (mssqlserver, sqlserveradhelper, sqlwriter など)中止

– システム復元無力化 (vssadmin delete shadows /all /quiet など)