[ ウイルス/マルウェアの活動受付: Sage ランサムウェア ]

Sageランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Sage ランサムウェア

そのランサムウェアはSageと呼ばれ、.sageという拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• シャドウコピーの削除

  Windowsの自己修復機能を無効にし、回復を困難にするために既存のシャドウコピーを削除します。

  
  [図3 シャドウコピーの削除]

• 一時命令の生成

  実行された一時コマンドファイルは通信状態をチェックし、ランサムウェア実行ファイルの位置を一時フォルダに移動して実行し、実行された命令は削除します。

  
  [図4 一時フォルダ]

  
  [図5実行命令]

  
  [図6 実在ランサムウェアの実行位置]

• コード難読化とデータ保護

  圧縮/アンパッキングに対する防御メカニズムが適用され、スクリプト自体も難読化が適用されています。

感染結果

案内ファイルは各フォルダに!Recovery_SB8.htmlという名前で生成され、暗号化の進行時に<暗号化ファイル名.sage>にファイルが変更されます。

[図7感染結果1]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。また、最初に実行されたランサムウェアのファイルも検出します。

[図8ブロックメッセージ]

[図9遮断履歴]

セージブロック映像を見に行く