Kasper（Biobio）ランサムウェアの形で推定される侵害事故が発生し、
これにその状況の確認と注意を次のように伝えます。

Kasper(Biobio)ランサムウェア

このランサムウェアはKasperと呼ばれ、ファイル名.拡張子.Biobioすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C ++ベースで構築されたこのランサムウェアは、マルチモードサポートを介してさまざまな環境で柔軟に動作するように設計されています。実行時に追加のパラメータを受け取り、特定の状況に応じた動作モードを有効にします。ミューテックスを利用して同一システム内の冗長実行を防止することで、リソースの非効率的な使用を遮断し、攻撃対象はPCの通常のドライブに限定されず、リムーバブルストレージやネットワークパスまで拡張され、ネットワークベース環境で特に大きなダメージを引き起こすすることができます。
  
  暗号化が完了した後は、cmdを介したコマンドを介してシャドウコピーを削除し、システムのごみ箱データを完全に削除することで、ユーザーがデータを回復しようとする可能性をブロックします。これは、既存のバックアップまたはデータ復旧ツールを無効にすることを意図しているようです。最後に、ランサムウェアは自分自身をシステムから完全に削除し、フォレンジック分析とサンプルの取得を困難にします。これらの自己削除メカニズムは、痕跡を残さないことで検出可能性を下げ、分析を遅らせる役割を果たします。

  
  [図3 状況に応じたパラメータによるマルチモードサポート]

  
  [図4重複防止ミューテックス]

  
  [図5 すべてのパスのドライブ攻撃]

  
  [図6 シャドウコピーコピー削除]

  
  [図7ごみ箱すべて空にする]

  
  [図8ランサムウェア実行ファイルの削除]

感染結果

ガイドファイルは各フォルダの場所にという名前で作成され、暗号化が行われた各ファイルは<ファイル名.拡張子.Biobio>に変更されます。

[図9感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図10ブロックメッセージ]

Kasper（Biobio）ブロックビデオを見に行く