[ ウイルス/マルウェア活動の受付: Xollam ランサムウェア ]

Xollamランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Xollamランサムウェア

このランサムウェアはXollamと呼ばれ、ファイル名.拡張子.xollamですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェアコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• バックアップとセキュリティ関連の機能を無効にする

  シャドウコピーを削除すると、ファイルの暗号化後に回復が困難になり、Windowsの復元機能が無効になります。

  
  [図3 シャドウコピー削除コマンド動的情報]

  
  [図4 Windows回復機能無効動的情報]

• データ関連プログラムの削除

  ランサムウェアは内部に特定のプログラムの名前を持ち、そのプログラムは主にデータ関連プログラム（SQL）と復元ソリューションです。ターゲットとなるプロセスを終了し、CMDコマンドを使用してサービスを削除します。

  
  [図5 ランサムウェアに保存されている静的文字列]

  
  [図6 サービス削除動的情報および入力される値]

感染結果

ガイドファイルは各パスにが生成され、暗号化の進行時に<ファイル名.拡張子.xollam>にファイルを変更後、完了するとデスクトップを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

Xollamブロックビデオを見に行く