[ ウイルス/マルウェアの活動受付: WIN ランサムウェア ]

WINランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

WINランサムウェア

そのランサムウェアはWINと呼ばれ、既存の名前。既存の拡張子。id[固有アイディ].[technobit@keemail.me].WINですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• ネットワークファイアウォールの解除

  上部から脆弱になるようにファイアウォールの設定を解除します。

  
  [図3 ネットワークファイアウォール解除]

• スタートプログラム登録

  ランサムウェア実行ファイルをスタートアッププログラムのレジストリとフォルダに登録し、Windowsの起動時に自動的に動作するように設定します。

  
  [図4 スタートプログラム登録]

• シャドウコピーの確認と削除

  暗号化後、ユーザーはファイルの回復が困難になるようにCMDコマンドを介して削除します。

  
  [図5 シャドウコピーの確認および削除]

感染結果

案内ファイルは各パスに info.txt / info.hta が生成され、暗号化進行時に <既存名.既存拡張子id[固有アイディ].[technobit@keemail.me].WIN> にファイルが変更されます。

[図6感染結果1]

[図7感染結果2]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

[図8ブロックメッセージ]

[図9ブロックメッセージ]

WINブロック映像を見に行く