[ ウイルス/マルウェアの活動受付: Vypt ランサムウェア ]

Vyptランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Vypt ランサムウェア

このランサムウェアはVyptと呼ばれ、ファイル名・拡張子_[ID-9BCBR_Mail-Ross.dec1966@gmail.com].Vyptですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェアコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• スタートアッププログラムの登録とサービスの作成

  最初に実行されたランサムウェアは自分をコピーしてスタートアッププログラムフォルダに作成し、そのファイルをサービスに登録し（実行オプション自動）、Windowsブート時に複数回にわたって再度実行できるようにしています。

  
  [図3 スタートプログラムフォルダに生成されたランサムウェア]

  
  [図4 cmdのsc命令を利用してサービスに登録]

• ランサムウェアの動作を補正するスクリプタのインストールと実行

  AppDataフォルダの場所にS-6748.bat/S-8459.vbs/S-2153.batをそれぞれ順番に作成してシャドウコピーを削除、ランサムウェアが正常に動作しているか(未同作時スタートプログラムに登録されたランサムウェアの再実行)完了したかなど、最初に実行されたランサムウェーが停止しても動作できるように、さまざまな方法で補完しています。

  
  [図5 生成されたスクリプトおよびドライバファイル]

  
  [図6重複防止およびシャドウコピーなど一部内容]

感染結果

ガイドファイルは各パスにが生成され、暗号化の進行時に<ファイル名.拡張子_[ID-9BCBR_Mail-Ross.dec1966@gmail.com].Vypt>にファイルを変更後、完了するとデスクトップを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

Vyptブロック映像を見に行く