[ウイルス/マルウェアの活動受付: KiRaランサムウェア]

KiRaランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

KiRaランサムウェア

このランサムウェアはKiRaと呼ばれ、ファイル名・拡張子・4桁別固有値にすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェアコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• ランサムウェア実行ファイルの移動と起動プログラムの登録

  最初に実行されたランサムウェアは自分自身をコピーして％AppData％Roamingフォルダにコピーして再実行し、スタートアッププログラムの場所にショートカットリンクを作成します。

  
  [図3 Roamingフォルダにコピーされた実行ファイル]

  
  [図4スタートプログラムにランサムウェアリンクを作成する静的コードの内容]

  
  [図5 スタートプログラムフォルダに生成された実リンクファイル]

• バックアップとセキュリティ関連の機能を無効にする

  シャドウコピー/バックアップカタログを削除して、ファイルの暗号化後に回復を困難にし、Windowsの復元機能とエラーのメッセージ出力機能を無効にします。

  
  [図6 シャドウコピー削除およびバックアップカタログ削除コマンド 静的コード]

感染結果

ガイドファイルは各パスにが生成され、暗号化の進行時に<ファイル名.拡張子.4桁別固有値>にファイルを変更後、完了するとデスクトップを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

KiRaブロック映像を見に行く