[ ウイルス/マルウェアの活動受付: Devos ランサムウェア ]

Devosランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Devosランサムウェア

このランサムウェアはDevosと呼ばれ、ファイル名.拡張子.id[秘密鍵].[henderson@cock.li].Devosという拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• - 自動権利上昇命令実行

  AutoElevationの脆弱性を使用した特権昇格命令の登録

  
  [図3 - 自動権利上昇命令実行]

• スタートプログラム登録

  Windowsの起動時に自動的に再実行されるように、スタートプログラムに自分自身を登録します。

  
  [図4 スタートプログラム登録]

• ファイアウォールの解除

  ユーザーのPCがセキュリティに脆弱になるようにファイアウォールの設定を解除します。

  
  [図5ファイアウォール解除]

• シャドウコピーの削除

  感染後の修復が困難になるようにシャドウコピーを削除します。

感染結果

案内ファイルは各フォルダに info.txt / info.hta という名前で生成され、暗号化の進行時に <ファイル名.拡張子.id[秘密鍵].[ henderson@cock.li].Devos> にファイルが変更になります。

[図6感染結果1]

[図7感染結果2]

[図8感染結果3]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図9ブロックメッセージ]

[図10ブロックメッセージ]

Devosブロックビデオを見に行く