NM4 Ransomware (.NMCRYPT)

・  感染方法 : Remote Desktop Protocol, RDPおよびターミナルサービスを介したリモート接続
・ MD5 : eb14e96402e409c974c3ad8087d1b669
・ ファイル暗号化パタン : .NMCRYPT
・ 決済案内ファイル : Recovers your files.html
・ 特徴 :
– Offline Encryption
– NMoreira / XPan ランサムウェア系列
– 特定プロセス(fb_inet_server.exe, pg_ctl.exe, sqlservr.exe) 終了
– 特定サービス(%Exchange%, %Firebird%, %MSSQL%, %postgresql%, %SQL%, %wsbex% など) 中止
– システム復元無力化(vssadmin.exe Delete Shadows /All /Quiet)
– イベントログ(wevtutil cl Application, wevtutil cl security, wevtutil cl setup, wevtutil cl system) 削除