Cs137 ランサムウェアの形で推定される侵害事故発生し、
これに該当状況の確認及び注意報を次のようにお届けいたします。

CS137ランサムウェア

このランサムウェアはCs137と呼ばれ、ファイル名・拡張子で名前は同じですが、攻撃対象とも暗号化を進める姿を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• CS137はC++ベースで開発されたランサムウェアで、現在までの分析結果によれば、実際の金銭要求を伴わない非定型的特性を持つ脅威要素に分類されます。主な目的は、データ暗号化ではなく、セキュリティ研究機関およびサンドボックス分析環境を対象としたテストまたは警告メッセージの配信にあるようです。
  
  

  
  [図3重複実行防止のためのグローバルミューテックス静的コード]

  主な
  特長暗号化が進む前に、被害者の回復試行を根本的にブロックするために、次のシステム復元関連機能を無効にします
  
  。これにより、システム内の重複感染によるクラッシュを回避し、単一インスタンス環境を維持します。
  
  •暗号化機能と制限的なダメージを引き起こす：：一般的なランサムウェアとは異なり、CS137はファイルの暗号化とデスクトップの画像の変更以外には特別なシステム破壊を行いません。
  具体的には、ユーザーに復号化の費用や支払いガイドラインを必要とせず、ガイドファイルには単に「攻撃が進んだ」というレベルのメッセージしか含まれていません。
  
  •セキュリティテストの目的または実証の可能性：複数のセキュリティベンダーのサンドボックス、クラウドベースの検出環境で継続的にサンプルが収集されており、そのサンプルには「新規ランサムウェアリリーステスト」または「セキュリティ業界に関する警告メッセージ」が挿入されているようです。
  ➤ ただし、これは攻撃者の意図の推定であり、明確なソースや攻撃者系列情報は現在まで確認されていません。
  
  

感染結果

ガイダンスファイルは暗号化完了後、各家のフォルダにランダム6桁。

[図4感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図5ブロックメッセージ]

Cs137ブロック映像を見に行く