仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• Clone ランサムウェアは c++ 系列のランサムウェアで、Dharma(ダルマ) ランサムウェアの変種で実行時にミューテックスを介した複数実行および暗号化完了時にレジストリに特定の値を登録して重複操作を防止する機能を持っています。ランサムウェアは、実行直後にデータ関連の特定のサービスおよびプロセスをチェックしてサービスを停止および終了します。暗号化時にユーザーデータの復元が難しいようにシャドウコピーを削除し、暗号化完了後にexe形式のランサムノートを実行します。スタートプログラムの場所にランサムウェア実行可能ファイルとランサムノートを登録します。
  
  

  
  [図3 マルチ実行防止ミューテックス動的内容]

  
  [図4 スタートプログラム登録されるランサムウェア実行ファイル]

  
  [図5 Pocmonで収集されたcmdの追加のマス]

感染結果

ガイダンスファイルは、暗号化が完了すると、それぞれのルートドライバとデスクトップのclone_info.txtフォルダとsystem32フォルダにmshta.exeという名前で作成されますが、暗号化が行われた各ファイルは<ファイル名.拡張子.id-個人Key8桁。[CloneDrive@mailum.com].Clone>に変更されます。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

クローンブロック映像を見に行く