[ ウイルス/マルウェアの活動受付: Cipher ランサムウェア ]

Cipherランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Cipher ランサムウェア

そのランサムウェアはCipherと呼ばれ、暗号化された名前です。cipher8という拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• WMIコマンド – 特定のプロセスの確認

  WMI命令を介してSQLなど特定の攻撃対象があるか確認します。

  
  [図3 WMIコマンド]

• 特定のプロセス強制終了

  CMD命令を介してSQLなど特定のプロセスを強制終了します。

  
  [図4 特定プロセス強制終了]

• 攻撃対象の選定

  リムーバブルまたは固定ディスクをターゲットに攻撃します。

  
  [図5 攻撃対象選定]

感染結果

ガイダンスファイルは各フォルダに!-Recovery_Instructions-!.htmlという名前で生成され、暗号化の進行時に<暗号化された名前。cipher8>にファイルが変更されます。

[図6感染結果1]

[図7感染結果2]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

[図9ブロックメッセージ]

Cipherブロックビデオを見に行く