[ ウイルス/マルウェアの活動受付: Phobos ランサムウェア ]

Phobosランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

仕組み

ファイルバージョン

このランサムウェアは2017年に初めて姿を現した後、様々な変種が発売されました。今回の分析時に.ekingという拡張子ですべてのファイルを変更している様子を見せています。

[図0]フォーボスランサムウェア感染後の実際の変更された拡張子

対応するファイル情報です。

• ランサムテキスト名info.txt
• ランサムノートプログラムmshta.exe / info.hta
• 暗号化されたファイル情報<暗号化ファイル名.拡張子.id[ランダム値-].[chinadecrypt@msgsafe.io].ランダム値>

[図1]ファイル情報

行動プロセス

外部通信確認

外部との通信が可能かランダムサイトを利用して確認します

[図2] 行動プロセス中の外部通信の確認

スタートプログラムレジスト登録

起動プログラムのレジストリに自分自身を登録し、起動時に再起動するようにします。

[図3] スタートアッププログラムのレジストリ登録

ネットワーク共有の有効化とファイアウォールの解除

PCのセキュリティをさらに感染させるためにファイアウォールをオフにします。

[図4]回復が難しいシャドウコピーを削除するコマンド

感染結果

案内ファイルは各フォルダにRead_Me!_.txtという名前で生成され、暗号化の進行時に<暗号化ファイル名.拡張子[ID=ランダム値-Mail=FreedomTeam@mail.ee].ランダム値>にファイルが変更されます。

[図5] .txtファイルランサムノート画面

[図6]ランサムノート画像

[図7]感染後に拡張子が変更されました

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

phobosブロックビデオを見に行く