GlobeImposterランサムウェアの形で推定される侵害事故が発生し、
これにその状況の確認および注意報を次のように伝えます。

GlobeImposter ランサムウェア

このランサムウェアはGlobeImposterと呼ばれ、ファイル名.拡張子.docですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C++ ベースで作成され、動作時に AppData%Roaming フォルダに実行可能ファイルをコピーし、スタートアップ プログラム レジストリ (once 一度だけ実行) に登録します。そのランサムウェアのみの特徴として、ユーザーフォルダPublic位置にAE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7という名前のファイルを生成し、暗号化関連情報を記録します。

  
  [図3 スタートアッププログラムのレジストリと起動 Roaming フォルダにコピー生成された実行ファイル]

  
  [図4 Publicフォルダに生成されたファイルおよび記録された情報]

感染結果

ガイダンスファイルは各パスに<Read___ME.html>が生成され、暗号化の進行時に<ファイル名.拡張子.doc>にファイルを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

GlobeImposterブロックビデオを見に行く