Fopraランサムウェア

このランサムウェアはFopraと呼ばれ、ファイル名.拡張子.id[固有値].[tracklus@tfwno.gf].fopraという拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• スタートプログラム登録

  最初の開始位置から％AppData％Localにコピーして再実行し、起動プログラムとして登録します。

  
  [図3 スタートプログラム登録]

  
  [図4 スタートプログラム登録]

• シャドウコピーの削除

  感染後の修復が困難になるようにシャドウコピーを削除します。

  
  [図5 シャドウコピーの削除]

• Windowsファイアウォールを無効にする

  セキュリティを脆弱にするためにファイアウォールを無効にします。

  
  [図6 Windowsファイアウォールを無効にする]

感染結果

案内ファイルは各フォルダに info.txt / info.hta という名前で生成され、暗号化の進行時に <ファイル名.拡張子.id[固有値].[tracklus@tfwno.gf].fopra> にファイルが変更になります。

[図7感染結果1]

[図8感染結果2]

[図9感染結果2]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図10ブロックメッセージ]

[図11ブロックメッセージ]

Fopraブロック映像を見に行く