[ ウイルス/マルウェアの活動受付: Eking ランサムウェア ]

Ekingランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Ekingランサムウェア

このランサムウェアはEkingと呼ばれ、既存の名前。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• ネットワークファイアウォールの解除

  上部から脆弱になるように、プライベートファイアウォールとパブリックファイアウォールの設定を解除します。

  
  [図3 ネットワークファイアウォールの解除]

• スタートプログラム登録

  ランサムウェア実行ファイルをスタートアッププログラムのレジストリとフォルダに登録し、ウィンドウの起動時に自動的に動作するように設定します。

  
  [図4 スタートプログラム登録]

• エラー通知と回復機能を無効にする

  ランサムウェアの進行中に発行される可能性のあるエラー通知を無効にし、Windowsの独自のエラー回復機能を無効にします。

  
  [図5エラー通知と回復機能を解除]

• シャドウコピーの確認と削除

  暗号化後、ユーザーはファイルの回復が困難になるようにCMDコマンドを介して削除します。

  
  [図6 シャドウコピーの確認および削除]

• バックアップカタログの削除(Windows Server)

  Windowsサーバーのバックアップカタログ機能をすべて消去します。

  
  [図7 バックアップカタログの削除(ウィンドウサーバ)]

感染結果

ガイダンスファイルは、デスクトップにinfo.txt、デスクトップフォルダにinfo.htaという名前で生成され、暗号化の進行時に<既存名.既存拡張子.id-[秘密鍵].[ tolong80@protonmail.ch].eking >にファイルが変更されます。

[図8感染結果1]

[図9感染結果2]

[図10感染結果3]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図11ブロックメッセージ]

[図12ブロックメッセージ]

Ekingブロックビデオを見に行く