[ ウイルス/マルウェア活動の受付: MarraCrypt ランサムウェア ]

MarraCryptランサムウェアの形で推定される侵害事故が発生し、
これにその状況の確認および注意報を次のように伝えます。

MarraCryptランサムウェア

このランサムウェアはMRACと呼ばれ、[newpatek@cock.li].MARRAという拡張子ですべてのファイルを変更している様子を見せています。MRACランサムウェアは、主要プロセスのデータ感染のためにサービスを停止するか、プロセスを強制終了します。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• sys.batコマンドファイルの作成/シャドウコピーの削除/バックアップ関連データの削除

  ランサムウェアは、rootUsersPublicの場所にsys.batを作成してシャドウコピーとバックアップデータを削除するコマンドを実行します。

  
  [図3ファイル生成]

  
  [図4 シャドウコピーの削除]

• onmywrist.batコマンドファイルの生成/ランサムウェアソースの削除

  暗号化操作が完了したら、onmywrist.batファイルを生成してソースを削除するコマンドを実行します。

  
  [図5命令ファイル生成]

  
  [図6実行命令]

感染結果

ガイダンスファイルは、各フォルダにMARRACRYPT_INFORMATION.HTMLという名前で生成され、特定の位置に暗化されたキー値を暗号化したMARRACRYPT_ID_DO_NOT_TOUCHファイルが生成され、暗号化の進行時に<暗号化ファイル名。[newpatek@cock.li].MARRA>にファイルが変更されます。

[図7感染結果1]

[図8感染結果2]

[図9感染結果3]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図10ブロックメッセージ]

[図11遮断履歴]

MarraCryptブロックビデオを見に行く