[ウイルス/マルウェア活動の受付：MRACランサムウェア]

MRACランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

MRACランサムウェア

そのランサムウェアはMRACと呼ばれ、.MRACという拡張子ですべてのファイルを変更している様子を見せています。MRACランサムウェアは、主要プロセスのデータ感染のためにサービスを停止するか、プロセスを強制終了します。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• 主なサービス終了

  主要プロセスのデータ感染を円滑に処理するためにサービスを停止するか、プロセスを強制終了します。

  
  [図3 主要サービス終了]

• CMDの終了とWindowsの回復機能の無効化とシャドウコピーの削除

  Windowsの自己修復機能を無効にし、回復を困難にするために既存のシャドウコピーを削除します。

  
  [図4]

• システム状態バックアップ機能の削除

  
  [図5]

• システム状態バックアップ機能の削除

  
  [図6]

• 作業目標

  GetLogicalDriveString を使用して接続し、ドライブの情報を確認し、2/3/4 タイプのドライブをターゲットとして機能します。

  
  [図7]

• その他の特徴

  暗号化されたファイルに「= MRAC =」という情報を残して、暗号化された宛先を確認します。

  
  [図8]

感染結果

ガイダンスファイルは各フォルダにMRACReadMe.htmlという名前で生成され、暗号化の進行時に<暗号化ファイル名.MRAC>にファイルが変更されます。

[図9感染結果1]

[図10感染結果2]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図11ブロックメッセージ]

[図12遮断履歴]

MRACブロック映像を見に行く