[ ウイルス/マルウェアの活動受付: HydraCrypt ランサムウェア ]

HydraCryptランサムウェアの形で推定される侵害事故が発生し、
これにその状況の確認および注意報を次のように伝えます。

HydraCryptランサムウェア

このランサムウェアはHydraCryptと呼ばれ、既存の名前、既存の拡張子、hydracrypt_ID_秘密鍵という拡張子ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• VSSサービスの停止

  Windows ボリューム シェード コピー サービス (VSS) サービスを停止して、将来の作業内容が復元されないようにします。

  
  [図3 VSSサービスの停止]

• シャドウコピーの確認と削除

  暗号化後、ユーザーはファイルの回復が困難になるようにCMDコマンドを介して削除します。

  
  [図4 シャドウコピーの確認および削除]

感染結果

ガイダンスファイルはデスクトップにREADME_DECRYPT_HYDRA_ID_秘密鍵.txtという名前で生成され、暗号化の進行時に<既存名.既存拡張子。hydracrypt_ID_秘密鍵>にファイルが変更されます。

[図5感染結果1]

[図6感染結果2]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

[図8ブロックメッセージ]

[図9ブロックメッセージ]

HydraCryptブロックビデオを見に行く