[ ウイルス/マルウェア活動受付: Payola ランサムウェア ]

Payolaランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Payola ランサムウェア

このランサムウェアはPayolaと呼ばれ、ファイル名、拡張子、個別ランダム5桁ですべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• データ関連プロセス攻撃

  ネット（C＃）に基づいて作成され、実行されたランサムウェアはスタートアッププログラムに登録されます。Tempにデスクトップイメージをランダムな名前で生成し、データ管理プログラム（ex SQL）と動的デバッグプログラムを強制終了するように動作します。

  
  [図3 スタートプログラムにランサムウェア登録の静的コードおよび実行後に登録された値]

  
  [図4 Tempフォルダに生成されたデスクトップイメージ]

  
  [図5 強制終了対象となるプロセス一覧静的コード]

  
  [図6 ドライバパス検索時に例外となるフォルダ]

  
  [図7 ファイル検索時に例外となる拡張子]

  
  [図8 基本攻撃対象として指定しているファイルの拡張子一覧]

感染結果

デスクトップと各フォルダにReadme.htmlという名前のファイルが作成されます。暗号化中は<ファイル名、拡張子、個別ランダム5桁>にファイルを変更します。

[図4感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図5ブロックメッセージ]

Payolaブロックビデオを見に行く