LockCrypt v2.0 Ransomware (. id-.LyaS)

・ 感染方法 : 未確認
・ MD5 : 6184d75ab9ac2df542261f166460400b
・ 探知名 : Gen:Win32.AV-Killer.auWbaWpI8Bn (BitDefender), Ransom.Win32.LOCKCRYPT.EKNAI (Trend Micro)
・ ファイル暗号化パタン : .<原本拡張子名> id-<Random>.LyaS
・ 悪性ファイル生成場所 :
– C:\Windows\clerlog.bat
– C:\Windows\searchfiles.exe
– C:\How To Restore Files.hta
・ 決済案内ファイル : How To Restore Files.hta
・ 特徴 :
– Offline Encryption
– DXXD / MrDec ランサムウェア系列
– whitelist以外の全てのプロセス終了後ファイル暗号化
– ユーザアカウントコントロール(UAC) 通知設定非活性化
– システム復元無力化(vssadmin delete shadows /all)
– イベントログ(wevtutil.exe cl “Analytic”, wevtutil.exe cl “Application”, wevtutil.exe cl “Microsoft-Windows-TerminalServices-LocalSessionManager/Operational”, wevtutil.exe cl “Security”, wevtutil.exe cl “System”, wevtutil.exe cl “Windows PowerShell” など) 削除
– 暗号化されたファイル(.<原本拡張子名> id-<Random>.LyaS) 実行時決済案内ファイル(C:\Windows\SysWow64\mshta.exe “c:\How To Restore Files.hta”) 実行