[ ウイルス/マルウェアの活動受付: Invader ランサムウェア ]

Invaderランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Invader ランサムウェア

このランサムウェアはInvaderと呼ばれ、ファイル名.拡張子.invaderですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• 実行ファイルの難読化と固定キー値の使用

  ネットVBの期間が作成され、他のユーザーが内部を見にくいように商用を利用した難読化機能が適用されました。ランダムな値を使用した後、そのキー値を攻撃者サーバーに送信するランサムウェアとは異なり、読み取ったファイルの値のみをBase64をリバースした値として保存します。ランサムノートは存在せず、デスクトップに公開ドメインを明示した状態で、一般的なユーザーを利用したランダム配布ではなく、特定企業を対象に攻撃する確率が高く見えます。

  
  [図3 内部コードが難読化されている(左)と復号化後(右)]

  
  [図4 内部難読化されている静的コード]

  
  [図5 ユーザーライブラリとOnDriveを攻撃する静的コード]

  
  [図6例外処理される拡張子と暗号化静的コード]

  
  [図7 Base64で保存されたため、Hex値は一般的なファイル形式で保存されていない様子]

感染結果

メモは別に存在せず、変更されたデスクトップに関連する内容があります。暗号化中に<ファイル名.拡張子.invader>にファイルを変更します。

[図8感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図9ブロックメッセージ]

Invaderブロックビデオを見に行く