[ ウイルス/マルウェアの活動受付: BlackBit ランサムウェア ]

BlackBitランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

BlackBitランサムウェア

このランサムウェアはBlackBitと呼ばれ、[GreenMonkey@onionmail.org][秘密鍵]既存の名前.既存の拡張子.BlackBitという拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• スタートアッププログラムのレジストリ登録と特定の命令の実行

  スタートアッププログラムレジストのレジストリにコピーされたランサムウェア実行可能ファイルをコピーして登録した後、タスクマネージャを無効にする命令のBatファイルを実行します。

  
  [図3 スタートプログラムレジストリ登録]

  
  [図4 特定命令実行]

• ジョブスケジューラに予約

  ランサムウェア本体を％Appdata％Roamingにコピーし、ジョブスケジューラに実行するように登録します。

  
  [図5ジョブスケジューラに予約]
  [図6ジョブスケジューラに予約]
  [図7ジョブスケジューラに予約]

• Windowsファイアウォールをオフにする

  セキュリティを無効にするために「Windowsファイアウォール」機能をオフにします。

  
  [図8 Windowsファイアウォールの解除]

• Windowsの回復機能を無効にする

  回復が困難になるように、Windowsの自己回復機能とシャドウコピーを削除します。

  
  [図9 Windows回復機能解除]
  [図10 Windows回復機能解除]

• Windows Defenderの機能を無効にする

  セキュリティを無効にするために、Windowsディフェンダーのすべての機能を無効にします。

  
  [図11 Windows Defenderの機能解除]

感染結果

ランサムウェアは、最初の開始位置で動作し、暗号化されない場合に備えて、<%AppdataRoaming（タスクスケジュールの登録と実行ファイルのコピー）>および<スタートプログラムレジストリの登録と実行ファイルのコピー>の場所にも機能します。暗号化中に<[GreenMonkey@onionmail.org][秘密鍵]既存の名前.既存の拡張子.BlackBit>にファイルが変更されます。

[図12感染結果1]

[図13感染結果2]

[図14感染結果3]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図15ブロックメッセージ]

[図16ブロックメッセージ]
[図17ブロックメッセージ]

BlackBitブロックビデオを見に行く