Surtr ランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Surtr ランサムウェア

そのランサムウェアはSurtrと呼ばれます。[JohnD3crypt@gmail.com].SURT という拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• セキュリティモジュールサービスの停止/バックアップの削除

  一部のセキュリティプログラムのサービスを停止し、バックアップを削除します。

  
  [図3 内部モジュールサービス停止/バックアップ削除]

• シャドウコピーの削除

  暗号化されたファイルの復元を防ぐためにシャドウコピーを削除する

  
  [図4シャドウコピーの削除]

• Windowsの回復機能を無効にする

  ユーザーが回復しにくいように、Windowsの回復機能を無効にします。

  
  [図5 Windows回復機能を無効にする]

感染結果

ガイドファイルは各フォルダにSURTR_README.txt / SURTR_README.htaという名前で作成され、暗号化の進行時に<[JohnD3crypt@gmail.com].SURT>にファイルが変更されます。

[図6感染結果1]

[図7感染結果2]

[図8感染結果3]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図9ブロックメッセージ]

[図10ブロックメッセージ]

[図11遮断履歴]

Surtrブロックビデオを見に行く