GandCrab v5.0.3 Ransomware (.<5~10 Digit Random Extension>)

  • 感染方法 : ユーザによるファイルダウンロード
  • MD5 : 44f1c28272d675ec4111c9210f050278
  • 重要検知名 : Win-Trojan/Gandcrab09.Exp (AhnLab V3), Ransom:Win32/Gandcrab!MTB (Microsoft)
  • ファイル暗号化のパターン: .<5~10桁 Random 拡張子>
  • 悪性ファイル生成場所 : C:\Users\%UserName%\.exe
  • 支払い決済案内ファイル : <暗号化拡張子>-DECRYPT.txt
  • 特徴 :
      オフライン暗号化(Offline Encryption)
    –  “C:\Windows\System32\wermgr.exe” 及び “C:\Windows\SysWOW64\wermgr.exe” システムファイルを利用したファイル暗号化
    –  .js スクリプトファイルを利用した特定ワクチンプログラム(AhnLab V3, avast! Antivirus)削除およびWindows Defenderサービス終了
    –  特定プロセス(dbsnmp.exe, msftesql.exe, oracle.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exeなど) 実行遮断
    –  システム復元の無力化(wmic.exe shadowcopy delete)
    –  デスクトップ背景(C:\Users\%UserName%\AppData\Local\Temp\\pidor.bmp) 変更

   2018. 10. 24