対CrySis ランサムウェア動画

 

  • CrySisランサムウェアとは : クライシスは、「ファイルコーダー」(Filecoder)ファミリーに属する不正プログラムで、その名が示す通り、情報を暗号化し、その復元の見返りに身代金の支払いを要求することを目的としている。
  • 決済案内ファイル : FILES ENCRYPTED.txt / Info.hta
  • 悪性ファイル生成場所

– C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\<Random>.exe
– C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
– C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<Random>.exe
– C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
– C:\Users\%UserName%\AppData\Roaming\<Random>.exe
– C:\Users\%UserName%\AppData\Roaming\Info.hta
– C:\Users\%UserName%\Desktop\FILES ENCRYPTED.txt
– C:\Users\Public\Desktop\FILES ENCRYPTED.txt
– C:\Windows\System32\<Random>.exe
– C:\Windows\System32\Info.hta
– <ドライブ文字>:\FILES ENCRYPTED.txt

  • 特徴 :

– オフライン暗号化(Offline Encryption)
– Dharma / Phobos ランサムウェア系列
– 特定プロセス(1cv77.exe, mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe など) 実行遮断
– 特定サービス(mssqlserver, sqlserveradhelper, sqlwriter など)終了
– システム復元遮断(vssadmin delete shadows /all /quiet)