13/03/21 12:46:03.74 OjgADmuC0
この攻撃でつかわれたマルウェアの攻撃手法
URLリンク(www.symantec.com)
Creates a file mapping object to reference itself using the name: JO840112-CRAS8468-11150923-PCI8273V
Kills two processes relating to local antivirus/security product vendors:
pasvc.exe
clisvc.exe
アンチウイルスソフトを停止させてーの
Enumerates all drives and begins to overwrite MBR and any data stored on it by writing the either the string “PRINCPES” or “HASTATI”.
This will wipe all contents of the hard disk.
↑この攻撃でMBRが書き換えられちゃうから再起動しちゃうとOS起動できなくなる準備完了、ニュースで「not found」写しているのは一応意味があるw
The threat may also attempt to perform the same wiping actions on any drives attached or mapped to the compromised computer.
PCにつながっているドライブもデータ削除しちゃうので、銀行()とかの重要データも消えちゃって復旧できないwwwwwwwwwwwwwwwwwwwww
Forces the computer to reboot by executing "shutdown -r -t 0” which renders the system unusable as MBR and contents of the drive is now missing.
その後PC強制再起動されちゃうので起動できなくなって終了