- 感染方法 : ユーザによるファイルダウンロード
- MD5 : 44f1c28272d675ec4111c9210f050278
- 重要検知名 : Win-Trojan/Gandcrab09.Exp (AhnLab V3), Ransom:Win32/Gandcrab!MTB (Microsoft)
- ファイル暗号化のパターン: .<5~10桁 Random 拡張子>
- 悪性ファイル生成場所 : C:\Users\%UserName%\.exe
- 支払い決済案内ファイル : <暗号化拡張子>-DECRYPT.txt
- 特徴 :
– オフライン暗号化(Offline Encryption)
– “C:\Windows\System32\wermgr.exe” 及び “C:\Windows\SysWOW64\wermgr.exe” システムファイルを利用したファイル暗号化
– .js スクリプトファイルを利用した特定ワクチンプログラム(AhnLab V3, avast! Antivirus)削除およびWindows Defenderサービス終了
– 特定プロセス(dbsnmp.exe, msftesql.exe, oracle.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exeなど) 実行遮断
– システム復元の無力化(wmic.exe shadowcopy delete)
– デスクトップ背景(C:\Users\%UserName%\AppData\Local\Temp\\pidor.bmp) 変更
2018. 10. 24