[ ウイルス/マルウェアの活動受付: Encoded ランサムウェア ]

エンコードされたランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Encoded ランサムウェア

そのランサムウェアはエンコードと呼ばれ、ファイル名。拡張子。ENCODEDですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェアUPXで圧縮されていたコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• 実行ファイルの圧縮と重複実行チェック

  実行可能ファイルはUPXで圧縮されており、内部にmutexを使用して冗長実行の部分を処理します。変形してまだ攻撃に使われますが、10年度初めにも確認されていたランサムウェアと、最近生成されたランサムウェアに比べて内部実装部分がシンプルです。

  
  [図3 圧縮された実行ファイルと解凍された場合のファイル]

  
  [図4内部デコンパイルされた静的コード]

感染結果

デスクトップにHOW TO DECRYPT FILES.txtファイルが作成され、暗号化の進行時に<ファイル名.拡張子.ENCODED>にファイルを変更する前にデスクトップを変更します。

[図7感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図8ブロックメッセージ]

エンコードされたブロックビデオを見に行く