[ ウイルス/マルウェア活動受付: Yashma ランサムウェア ]

Yashmaランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Yashma ランサムウェア

このランサムウェアはYashmaと呼ばれ、既存の名前、既存の拡張子、個々のランダム値ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1ファイルバージョン]

[図2ファイル属性]

行動プロセス

• 実行位置変更後に再実行およびスタートアッププログラムを登録する

  最初の実行場所からRoamingフォルダに場所にコピーして名前を変更（svchost.exe）してから再実行し、起動プログラムに実行ファイルのリンクファイルを作成します。

  
  [図3 Roamingフォルダにコピーされた実行ファイルと内部変数のsvchost.exe保存された内容]

  
  [図4スタートプログラムフォルダの場所に生成されたリンクと内部処理コード]

• Windowsの回復とバックアップとセキュリティ機能の無効化

  ランサムウェアの感染が完了したときにデータを回復するのを困難にするために、cmdコマンドを使用してシャドウコピーの削除とWindowsの回復関連機能を無効にします。サーバーバージョンの場合は、セキュリティカタログも削除します。さらに、バックアップ関連サービスに停止コマンドを発行し、タスクマネージャを無効にします。

  
  [図5 内部に保存されているcmd命令]

  
  [図6 サービスを停止させる対象一覧]

  
  [図7 作業管理者の無効化適用値と作業管理者の実行時に表示されるエラーウィンドウ]

• 攻撃対象の選定と例外処理

  すべてのドライブを対象に進めますが、SystemDirectory（Cドライブ）内に特定のフォルダは例外処理されています。

  
  [図8例外処理対象]

  
  [図9 対象となる拡張子]

感染結果

案内ファイルは各パスに read_it.txt が生成され、暗号化の進行時に <既存名. 既存拡張子. 個別ランダム値> にファイルを変更後完了するとデスクトップを変更します。

[図10感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図11ブロックメッセージ]

Yashmaブロックビデオを見に行く