[ ウイルス/マルウェア活動の受付: Rec_rans ランサムウェア ]

Rec_rans ランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Rec_rans ランサムウェア

このランサムウェアはRec_ransと呼ばれ、既存の名前.既存の拡張子.rec_ransですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• シャドウコピーの削除

  暗号化されたデータの回復が困難になるように、vssadminを使用したシャドウコピーを削除します。

  
  [図3シャドウコピーの削除]

• 攻撃対象の選定

  ランサムウェアはDRIVE_REMOTE(4)[ネットワークドライブ]を含めて攻撃するため、ネットワーク上に共有されたフォルダやファイルに書き込み権限が存在する場合、他のPCにもダメージが伝播することがあります。

  
  [図4 攻撃対象選定]

感染結果

ガイドファイルは各パスにunlock_here.txtが生成され、暗号化の進行時に<既存名.既存拡張子.rec_rans>にファイルを変更後、完了するとデスクトップを変更します。

[図5感染結果1]

[図6感染結果2]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

[図8ブロックメッセージ]

[図9ブロックメッセージ]

[図10ブロックメッセージ]

Rec_ransブロックビデオを見に行く