[ ウイルス/マルウェア活動の受付: RTM Locker ランサムウェア ]

RTM Lockerランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

RTM Lockerランサムウェア

このランサムウェアはRTM Lockerと呼ばれ、ファイル名、拡張子、個別パスワード値ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェアコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

行動プロセス

• 実行中の特定のプロセスキル

  シームレスな暗号化のために、特定の名前と比較して文書プロセスとSQLおよびセキュリティ/バックアッププロセスを強制終了します。

  
  [図3(左)静的コード/(右)動的実行時特定名と比較する部分]

• 特定のサービスを停止

  特定のバックアップ/SQL/セキュリティサービスの名前を持つサービスに停止コマンドを実行します。

  
  [図4 (左) 静的コード / (右) 動的実行時に停止命令を出すサービス ]

• デスクトップの変更

  Tempフォルダの場所を確認して、組み込みのバイナリ値で画像ファイルを作成し、デスクトップの設定値をその画像に変更します。

  
  [図5(左)静的コード/(右)動的実行時の実際の画像生成および設定変更]

感染結果

ガイダンスファイルは各パスにHow To Restore Your Files.txtが生成され、暗号化の進行時に<ファイル名、拡張子、個別パスワード値>にファイルを変更後、完了するとデスクトップを変更します。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図10ブロックメッセージ]

RTM Lockerブロックビデオを見に行く