[ Corona ランサムウェア ]

[ ウイルス/マルウェア活動の受付: Corona ランサムウェア ]

Coronaランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Corona ランサムウェア

このランサムウェアはcoronaと呼ばれ、ファイル名、拡張子、coronaですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• ランサムウェアの動作 特徴 Corona ランサムウェアは Python で開発されたものとして分析され、実行中に必要なライブラリを %LocalAppData%Temp\_MEI19202 パスにインストールし、インストールが完了するとその一時ディレクトリを削除します。暗号化対象はユーザーのライブラリフォルダとドライブAからNまでに制限されており、比較的単純な暗号化範囲を持つ構造です。

  
  [図3 コピーされた実行ファイルと起動プログラム登録レジストリ]

  
  [図4 コピーされた実行ファイルと起動プログラム登録レジストリ]

感染結果

ガイダンスファイルは、暗号化完了後に_README.txtという名前で各フォルダの場所に作成され、暗号化が進行された各ファイルは<ファイル名.拡張子.corona>に変更されます。

[図5感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図6ホワイトディフェンダー対応]

コロナブロック映像を見に行く