[ Wannadie ランサムウェア ]

[ ウイルス/マルウェアの活動受付: Wannadie ランサムウェア ]

Wannadieランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Wannadie ランサムウェア

このランサムウェアはWannadieと呼ばれ、ファイル名.WANNADIEすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• このランサムウェアはC＃.NETベースで開発され、内部コードの実行分岐がスペイン語（si / no）で書かれているのが特徴です。感染時にシャドウコピーとバックアップカタログを削除し、Windowsの復元機能とエラー通知機能を無効にして、システムの回復を妨げます。主にWindowsのルートドライブを攻撃しますが、別のドライブにABREME.exe（スペイン語で「開く」という意味）ファイルを作成して、リムーバブルディスクを使用すると追加の感染を引き起こす可能性があります。また、％AppData％Localの場所にdiscord.exeという名前の実行可能ファイルを作成し、Windowsスタートアップレジストリに登録して、システムの再起動後も継続的に実行するように設定します。

  
  [図3スペイン語を使用する静的コードの内容（si / no）]

  
  [図4 cmd関連静的コード]

  
  [図5 追加ドライブにランサムウェア実行ファイルをコピー(bat)]

  
  [図6 スタートプログラムレジストリにランサムウェアを登録する]

感染結果

ガイダンスファイルは、暗号化完了後にREADME.txtという名前で各フォルダの場所に生成され、暗号化が進行された各ファイルは<ファイル名.拡張子.WANNADIE>に変更されます。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

Wannadieブロックビデオを見に行く