CrySis Ransomware (.id-.[omfg@420blaze.it].korea)

 

  • 感染方法 : Remote Desktop Protocol, RDP及びターミナルサービスを介したリモート接続
  • MD5 : 0abec20843b119edf7536ac7bbc7ebf5
  • 探知名 : Ransom.Crysis (Norton), Ransom.Win32.CRYSIS.SMAL01 (Trend Micro)
  • ファイル暗号化パタン : .id-<Random>.[omfg@420blaze.it].korea
  • 悪性ファイル生成場所 :
    – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\<Random>.exe
    – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
    – C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<Random>.exe
    – C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
    – C:\Users\%UserName%\AppData\Roaming\<Random>.exe
    – C:\Users\%UserName%\AppData\Roaming\Info.hta
    – C:\Windows\System32\<Random>.exe
    – C:\Windows\System32\Info.hta
  • 決済案内ファイル : FILES ENCRYPTED.txt / Info.hta
  • 特徴 :
    – Offline Encryption
    – Dharma ランサムウェア系列
    – 特定プロセス(mysqld.exe, mysqld-nt.exe, outlook.exe, postgres.exe, sqlservr.exe など) 実行遮断
    – 特定サービス(mssqlserver, sqlserveradhelper, sqlwriter など) 終了
    – システム復元無力化(vssadmin delete shadows /all /quiet)