[ ウイルス/マルウェアの活動受付: LIZARD ランサムウェア ]

LIZARDランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

LIZARDランサムウェア

このランサムウェアはLIZARDと呼ばれ、ファイル名.id[秘密鍵].[b1shops@tutanota.com].LIZARDという拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• Windowsエラー回復通知ウィンドウと回復モード

  バックグラウンドでランサムウェアが動作中に例外が発生することを考慮してエラー回復通知ウィンドウ出力機能を終了し、ウィンドウの回復モードを無効にします。

  
  [図3 Windowsエラー回復通知ウィンドウおよび回復モード]

• スタートプログラム

  暗号化が失敗したときに自動的に再実行されるように、スタートアッププログラムに自分自身を登録します。

  
  [図4 スタートプログラム]

• Windowsファイアウォールの解除

  使用PCのセキュリティ環境が脆弱になるように、防御壁に関する設定を解除します。

  
  [図5ウィンドウファイアウォールの解除]

• シャドウコピーの確認と削除

  暗号化後にユーザーがファイルの回復を困難にするように、WMIクエリを介してシャドウコピーを確認し、CMDコマンドを介して削除します。

  
  [図6 シャドウコピー確認]

  
  [図7シャドウコピーの削除]

感染結果

案内ファイルは各フォルダに info.txt / info.hta という名前で生成され、暗号化の進行時に <ファイル名.id[秘密鍵].[b1shops@tutanota.com ].LIZARD> にファイルが変更されます。

[図8感染結果1]

[図9感染結果2]

[図10感染結果3]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図11ブロックメッセージ]

[図12ブロックメッセージ]

LIZARDブロック映像を見に行く